Açık kaynak güvenlik firması Chainguard, yapay zeka kaynaklı saldırılara karşı açık kaynak yazılımları korumak için sektörün önde gelen isimlerini bir araya getiren yeni bir koalisyon başlattı. Athena adı verilen bu girişim, 16 Haziran'da duyuruldu ve BNY, Chainguard, Cisco, Cloudflare, Corridor, DepthFirst, Docker, JPMorganChase, Kyndryl, LTIMindtree ve PwC gibi kurucu üyeleri içeriyor. Koalisyon, özellikle Anthropic'in Mythos ve OpenAI'nin GPT-5.5-Cyber gibi ileri düzey yapay zeka modellerinin keşfettiği güvenlik açıklarını, saldırganların istismar etmesinden önce tespit edip düzeltmeyi amaçlıyor.
Chainguard'ın CEO'su Dan Lorenc, Athena'nın işleyişini şöyle açıklıyor: Koalisyon üyeleri, keşfettikleri açık kaynak projelerindeki güvenlik açıklarını ve paketleri, erişimleri olan ileri yapay zeka programları (Anthropic'in Project Glasswing ve OpenAI'nin Daybreak'i gibi) kullanarak Athena platformunda toplar. Chainguard bu açıkları özel olarak yamalar ve etkilenen projeler, Chainguard Libraries aracılığıyla üyelerin kullanımına sunulan özel, güçlendirilmiş sürümler olarak yeniden oluşturulur. Altyapı, platform, ağ ve güvenlik katmanlarını işleten koalisyon üyeleri, açıklama öncesinde yama olmayan durumlarda bile kapsama sağlamak için yama dışı hafifletmeler uygular. Siber güvenlik ortakları kendi tespitlerini, imzalarını ve sanal yamalarını ekler. Athena koalisyonu, koordineli bir şekilde yukarı akış açıklaması yapar.
Chainguard ayrıca Linux Vakfı ile birlikte, açık kaynak için koordineli bir Güvenlik Olay Müdahale Ekibi (SIRT) ve son çare bakıcısı programı üzerinde çalışmayı umuyor. Lorenc, projeyi LinkedIn'de duyururken, Athena'nın bir üyenin keşfettiği her güvenlik açığının düzeltilmesine ve yukarı akışa iletilmesine olanak tanıdığını, böylece tüm ekosistemin bu düzeltmeyi genellikle açıklamadan önce miras aldığını belirtti. Ayrıca, 'saldırganın zaman çizelgesinde yama yapamayan dünyanın geri kalanı için, internetin büyük bir kısmının önünde duran ortaklar, açıklamadan önce hafifletmeleri iter ve engellenecek bir şey olduğunu asla bilmeyen kişiler için sorunu bloke eder' dedi.
Chainguard, Athena modelinin, ABD hükümetinden Başkan Trump'ın 2 Haziran'da yayınladığı 'Yapay Zeka İnovasyonu ve Güvenliğini Teşvik' başlıklı son Başkanlık Kararnamesi'nin ardından oluşturması istenen türden bir 'yapay zeka siber güvenlik takas odası' olarak işlev gördüğünü vurguladı. Açık kaynak güvenlik şirketi, 'Cuma günü ABD hükümetinin Mythos'u halka açık erişim için çok tehlikeli ilan etmesiyle bu daha da anlamlı hale geldi' diye ekledi. Athena halihazırda faaliyette ve 500'den fazla açık kaynak projesinde 20.000'den fazla bulguyu işleme aldı ve 2000'den fazla yama gönderdi.
Nasıl Önlem Alınmalı?
Girişim, Temmuz ayında ilk açıklama dalgasını yayınlamaya başlayacak ve yeni ortakları ağırlamaya devam ediyor. Lorenc, 'Mükemmel olacak mı? Hayır ve kimse bunun aksini iddia etmemeli. Ancak parçalanma daha kötü, yerinde saymak sürdürülemez ve sektör ne kadar çok içindeyse, saldırganın bulacağı o kadar az şey kalır. Bize katılın' dedi. Bu koalisyon, açık kaynak yazılımların güvenliğini artırmak ve yapay zeka kaynaklı tehditlere karşı proaktif bir savunma mekanizması oluşturmak adına önemli bir adım olarak görülüyor.
Athena'nın sunduğu işbirliği modeli, özellikle büyük finans kuruluşlarının ve teknoloji devlerinin katılımıyla, açık kaynak ekosisteminin karşılaştığı güvenlik açıklarının hızla tespit edilip kapatılmasını sağlıyor. Bu sayede, hem bireysel geliştiriciler hem de büyük ölçekli kuruluşlar, yapay zeka destekli saldırılara karşı daha dirençli hale geliyor. Koalisyonun şeffaflık ve koordinasyon odaklı yaklaşımı, sektördeki diğer oyuncular için de bir örnek teşkil ediyor.
Kaynak: infosecurity-magazine.com