Linux Foundation lanza Akrites por fallos open source y ataques con IA

Cerca de veinte empresas tecnológicas, laboratorios de IA y bancos están uniendo fuerzas a través de Akrites para arreglar vulnerabilidades en software open source crítico antes que las herramientas de IA puedan explotarlas.

La Linux Foundation anunció Akrites, una iniciativa industrial coordinada para parchar fallos de seguridad en software open source ampliamente usado junto a sus maintainers, antes que los atacantes los aprovechen. Los miembros fundadores incluyen Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, la Rust Foundation, Vodafone y Zscaler.

¿Por qué ahora? La asimetría entre defensa y ataque cambió

La razón es un giro en el balance de poder entre defensores y atacantes. Encontrar y arreglar bugs serios en código open source antes requería experiencia comparable de ambos lados. Los modelos de IA modernos ahora pueden escanear un proyecto grande en minutos en lugar de semanas, exponiendo fallos mucho más rápido. Una vez que esas habilidades estén ampliamente disponibles, incluso atacantes sin profundidad técnica obtienen las herramientas para exploits sofisticados.

La Linux Foundation describe el modelo actual de respuesta a seguridad como un parche cosido a mano. Muchas organizaciones escanean los mismos paquetes de forma independiente, reportan los mismos hallazgos múltiples veces y a veces entregan parches contradictorios. Los maintainers quedan sepultados bajo duplicados mientras los bugs reales y explotables se pierden en el ruido generado por IA.

Varun Badhwar, CEO de Endor Labs, puso la urgencia en términos crudos.

"De miles de vulnerabilidades open source validadas en los últimos meses, menos del 5% han sido parchadas."

Un equipo único de respuesta en lugar de cien reportes separados

En el núcleo de Akrites está un equipo compartido de respuesta a incidentes de seguridad (SIRT, Security Incident Response Team). Actúa como un punto de contacto único y confiable para los maintainers de proyectos open source en lugar de docenas de organizaciones marcando los mismos fallos por separado. El equipo evalúa los reportes entrantes, filtra duplicados y coordina las correcciones.

Akrites usa un proceso estandarizado para divulgación confidencial de vulnerabilidades, conocido en la industria como Coordinated Vulnerability Disclosure. Se apoya en estándares establecidos como el sistema de identificadores CVE, el framework de scoring de severidad CVSS y el protocolo de semáforos TLP que gobierna quién accede a qué.

La confidencialidad es central: cada reporte arranca en TLP:RED, el nivel de clasificación más alto, y solo el equipo asignado al caso puede acceder a él. De esa forma, los detalles sobre un fallo no se filtran antes que el parche esté listo.

¿Qué pasa cuando el maintainer ya no existe?

Los arreglos terminados vuelven al proyecto original bajo los términos del maintainer, manteniendo a los desarrolladores en control. Cuando un paquete crítico ya no tiene un maintainer activo, un problema común en proyectos llevados por voluntarios, Akrites planea actuar como "maintainer de último recurso" y enviar el parche por su cuenta, para que la corrección llegue a todos los usuarios a tiempo.

La iniciativa también planea coordinar con agencias de gobierno para que defensores privados y públicos se muevan en paralelo. El financiamiento inicial viene de Alpha-Omega, un fondo dirigido bajo la Linux Foundation. Otras organizaciones que quieran contribuir con recursos de ingeniería o financiamiento están invitadas a sumarse.

¿Cómo se compara con OSS-Fund y otras iniciativas?

Akrites no es la primera iniciativa de seguridad open source bajo la Linux Foundation. OpenSSF existe desde 2020 y Alpha-Omega desde 2022 (de hecho es la fuente de seed funding para Akrites). La diferencia clave es el alcance operacional: OpenSSF establece estándares y herramientas, mientras que Akrites ejecuta directamente las correcciones, incluso sin el consentimiento del maintainer original cuando el proyecto está abandonado.

Para el ecosistema chileno y latinoamericano, donde muchas empresas dependen de paquetes con maintainers únicos, la red de seguridad importa: si una empresa local usa una librería Python con dos años sin actualizar, Akrites podría ser quien arregle el bug antes que un atacante automatizado lo explote.