IBM витрачає 5 мільярдів доларів на пошук вразливостей у відкритому коді! Потрібно залучити 20 000 інженерів, 6 великих фінансових гігантів вже підключилися

IBM спільно з дочірньою компанією з відкритим кодом Red Hat офіційно запускає проект «Project Lightwell», інвестуючи 5 мільярдів доларів і залучаючи 20 000 штатних інженерів для масштабного сканування вразливостей відкритого програмного забезпечення за допомогою передових технологій штучного інтелекту. Американські банки, JPMorgan Chase, Visa, Mastercard, Wells Fargo та Morgan Stanley вже підключилися до платформи як ранні партнери, а сфера захисту значно розширилася від власних систем Red Hat до AI-фреймворків, кодових бібліотек та розподілених інфраструктур, таких як Apache Kafka. За інформацією від動區動趨.
(Передісторія: майже мільярд завантажень щомісяця AI-пакету LiteLLM, що спричинило ланцюгові атаки, повністю компрометуючи криптогаманці та SSH-ключі)
(Додатковий фон: новий стартап у сфері безпеки AI Depthfirst переміг Anthropic Mythos! Виявлено вразливість NGINX, яка існувала 18 років)

Ключові моменти

• IBM спільно з Red Hat запускає Project Lightwell, інвестуючи 5 мільярдів доларів і залучаючи 20 000 інженерів для ідентифікації та виправлення вразливостей відкритого програмного забезпечення за допомогою AI
• Американські банки, JPMorgan Chase, Visa, Mastercard, Wells Fargo та Morgan Stanley вже підключилися до платформи як ранні партнери
• Захист поширюється від власних систем Red Hat до AI-фреймворків, кодових бібліотек та таких технологій, як Apache Kafka, у широку екосистему відкритого коду

З початку року частота та масштаб атак на ланцюги поставок відкритого програмного забезпечення швидко зростають. У березні майже мільярд завантажень щомісяця AI-пакету LiteLLM були вражені шкідливим кодом, що викрадав приватні ключі криптогаманців та SSH-ключі; у травні навіть комп’ютери співробітників OpenAI були уражені атакою через npm-пакет TanStack. IBM вирішила діяти саме зараз, розширюючи можливості безпеки Red Hat від власних систем до всієї екосистеми відкритого коду.

Масштаб Project Lightwell досить великий — 5 мільярдів доларів інвестицій і 20 000 штатних інженерів. Всі ці інженери — співробітники IBM, вони цілком зосереджені на виявленні та виправленні вразливостей, без залучення зовнішніх підрядників, часткової зайнятості або консультантів на умовах аутсорсингу.

Red Hat знову розширює свої можливості

Раніше інструменти безпеки та сканери вразливостей Red Hat були обмежені власною системою, наприклад RHEL (Red Hat Enterprise Linux) та OpenShift.

Project Lightwell руйнує цю межу. Захист тепер значно розширено за межі власних систем, охоплюючи AI-фреймворки (TensorFlow, PyTorch тощо), відкриті кодові бібліотеки та широку екосистему, включаючи розподілену платформу потоків даних Apache Kafka. Kafka широко використовується у глобальній фінансовій індустрії: JPMorgan Chase пропонує понад 500 вакансій, що вимагають досвіду роботи з Kafka, оскільки вона є ядром для обробки миттєвих транзакцій, моніторингу ризиків та регуляторної звітності.

Якщо ваша система миттєвих платежів базується на Kafka, і один із її залежностей буде вражений шкідливим кодом, фаєрвол не допоможе. IBM цілиться саме в цю рівень.

Шість великих фінансових гігантів вже приєдналися

При запуску Project Lightwell до платформи приєдналися шість ранніх партнерів: Bank of America, JPMorgan Chase, Visa, Mastercard, Wells Fargo та Morgan Stanley.

Цей список охоплює основні гравці американської фінансової сфери: дві найбільші комерційні банки, дві карткові організації, лідер у сфері управління багатством та великий роздрібний банк. Вони мають спільне — глибоку залежність від відкритих інфраструктур, від Kafka до Kubernetes і різних AI-фреймворків для інференції, кожен рівень може стати точкою входу для атак ланцюга поставок.

У травні цього року IBM оголосила про розширення портфоліо продуктів безпеки AI та поглибила співпрацю з Anthropic під брендом Project Glasswing. Project Lightwell — це наступний крок у цій стратегії.

Для фінансової сфери ця оборона не запізнилася. Лише за перші п’ять місяців року атаки на ланцюги поставок відкритого коду вже завдали значних збитків кільком технологічним компаніям і розробникам.

Питання та відповіді

Чи є 20 000 інженерів у команді Project Lightwell новими найманцями?

Ні. Всі ці 20 000 штатних інженерів — співробітники IBM, вони цілком зосереджені на виявленні та виправленні вразливостей відкритого програмного забезпечення, зовнішнього найму не залучають.

Чим відрізняється Project Lightwell від існуючих сервісів безпеки Red Hat?

Раніше інструменти безпеки Red Hat були обмежені власними системами (наприклад RHEL, OpenShift). Project Lightwell розширює захист на AI-фреймворки, відкриті кодові бібліотеки та широку екосистему відкритого коду, включаючи Apache Kafka.