IA

IBM e Red Hat pegam na IA para tapar buracos no open source

O Project Lightwell virou serviço pago: IA para encontrar falhas em código aberto, IA para as corrigir. A grande questão é quem fica dentro desta bolha de proteção.

IBM e Red Hat pegam na IA para tapar buracos no open source

Os mesmos modelos de IA que hoje escrevem código em minutos também ajudam a encontrar falhas de segurança a preço de saldo. IBM e Red Hat olharam para este cenário e decidiram industrializar a resposta. O Project Lightwell, anunciado como iniciativa de 5 mil milhões de dólares para limpar o caos da segurança em software livre, deixou de ser promessa e passou a produto com dois serviços comerciais: Lightwell Network e Lightwell Clearinghouse Premier.

O objetivo é claro, mesmo por detrás do discurso corporativo: usar IA generativa para vasculhar dependências open source, identificar vulnerabilidades, validar o impacto e produzir patches específicos para versões em produção. Em vez de obrigar equipas a correr atrás de grandes upgrades upstream, o Lightwell aposta em backports automatizados, isto é, aplicar correções críticas a versões antigas e estáveis, reduzindo o risco de partir aplicações em produção. Para quem tem monólitos com 15 anos ainda a correr em bancos ou telecom, isto fala diretamente ao pesadelo diário.

O Lightwell Network é a peça mais tangível. Funciona como um serviço de subscrição que dá acesso a uma biblioteca crescente de binários assinados digitalmente, código-fonte corrigido e documentação de conformidade, incluindo SBOMs (Software Bill of Materials, listas completas de componentes). A promessa é integração direta nas pipelines de CI/CD existentes, sem code drift. Em bom português, o fornecedor garante que o que sai do outro lado continua a ser a mesma aplicação, mas com menos buracos. É a versão enterprise do que muitos equipas de segurança já tentam fazer à mão com scanners de dependências.

O segundo produto, Lightwell Clearinghouse Premier, é mais político que técnico. Começa fechado ao sector financeiro e quer ser um intermediário de confiança para partilha de vulnerabilidades, coordenação de ameaças específicas de cada indústria e gestão de embargos de patches. As instituições podem submeter falhas, pedir remediação dirigida para versões concretas e manter tudo em silêncio até haver correção pronta. Se funcionar nos bancos, IBM e Red Hat querem levar o modelo para governo, saúde e telecomunicações, precisamente os sectores onde uma falha num pacote obscuro pode parar serviços nacionais.

Por trás está a tese de que o modelo clássico de patches está partido. Quando exploits gerados por IA se fazem por 50 dólares e o open source corre praticamente todo o software empresarial, esperar que cada equipa aplique manualmente todas as atualizações é fantasia. Outsourcing da dor para um gigante como IBM e Red Hat é um negócio óbvio. A dúvida é quem fica de fora. Pequenas empresas, entidades públicas sem orçamento e muitos projectos comunitários vão continuar expostos, enquanto uma minoria paga por uma espécie de zona verde de segurança. O discurso é “defender o open source”, mas o modelo é claramente premium.

Para Portugal, isto encaixa bem nas grandes infraestruturas que já vivem dentro do ecossistema Red Hat: bancos, operadoras, administrações centrais. Quem já paga contratos de suporte vai ver neste serviço mais uma linha na fatura, não uma revolução conceptual. O desequilíbrio continua: a IA acelera tanto o ataque como a defesa, mas a defesa com IA de topo está a ser centralizada em meia dúzia de fornecedores globais. A discussão sobre regulação da IA em segurança, que a ONU já anda a tentar puxar, vai ter de incluir esta nova camada de dependência em gigantes do software empresarial.

Fonte: ZD Net

Comentários · 0