L'evoluzione dei modelli di AI frontier ha introdotto una capacità senza precedenti di scansionare progetti open source su larga scala, individuando molteplici vulnerabilità in un unico passaggio. Se da un lato questo rappresenta uno strumento straordinario per i difensori, dall'altro offre agli attaccanti una leva di pressione letale. Per contrastare questo squilibrio, è nato Akrites, un organismo di coordinamento volto a gestire la scoperta, la risoluzione e la divulgazione delle falle nei software open source critici.
Un fronte comune tra competitor
Lanciata sotto l'egida della Linux Foundation, l'iniziativa vede la partecipazione di circa 20 organizzazioni leader del settore. Tra i membri fondatori figurano giganti dell'AI e del cloud come AWS, Anthropic, Google, Microsoft (insieme a GitHub), OpenAI, oltre a player infrastrutturali e finanziari come NVIDIA, Cisco, Red Hat, Vodafone, JPMorganChase e Citi. L'obiettivo è superare il modello decentralizzato di gestione delle vulnerabilità, spesso basato su reti informali di ricercatori e maintainer, per implementare un sistema più strutturato e rapido.
Il contesto: tra ban governativi e corsa agli armamenti
Il lancio di Akrites avviene in un clima di estrema tensione regolatoria. Recentemente, l'amministrazione statunitense ha imposto a Anthropic il ritiro globale dei modelli Fable 5 e Mythos 5, classificandoli come potenziali minacce alla sicurezza nazionale a causa della loro capacità di analisi cyber. Questo scenario ha accelerato una vera e propria corsa agli armamenti tecnologica: come riportato in precedenza da AlexTech, aziende cinesi come Qihoo 360 hanno già rivendicato lo sviluppo di strumenti AI capaci di eguagliare le capacità di Mythos nella ricerca di bug.
Verso una difesa proattiva dell'ecosistema
Akrites mira a chiudere il gap temporale tra l'individuazione di una falla e la sua correzione, impedendo che gli attaccanti possano sfruttare le capacità dei modelli AI per automatizzare l'exploit. La collaborazione tra aziende che normalmente competono sul mercato dei modelli LLM evidenzia come la sicurezza dell'infrastruttura open source sia ormai considerata un bene pubblico essenziale, la cui compromissione danneggerebbe l'intero ecosistema digitale globale, indipendentemente dal provider AI utilizzato.