Linux Foundationと業界大手、AI時代のサイバー脅威からオープンソースを守る「Akrites」を発足

見出し

1 Linux Foundationと業界大手、AI時代のサイバー脅威からオープンソースを守る「Akrites」を発足
- 1.1 AIによる脆弱性発見能力の進化と増大する脅威
- 1.2 協調的な脆弱性対応と政府機関との連携

【サンフランシスコ発】 Linux Foundationは2026年6月25日、AIを活用したサイバー脅威から世界中の重要なオープンソースソフトウェア（OSS）を保護するため、業界をリードする企業群との共同イニシアチブ「Akrites（アクリテス）」の発足を発表しました。この取り組みには、Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone、Zscalerといった主要なテクノロジー企業、AI研究所、金融機関、セキュリティベンダーが創設メンバーとして参画しています。

Akritesは、機密性を最優先とする原則に基づき、共通のセキュリティインシデント対応チーム（SIRT）を設置します。また、単一の標準化された協調的脆弱性開示（Coordinated Vulnerability Disclosure：CVD）プロセスを確立することで、OSSの脆弱性修正と情報開示を連携して進めることを目指しています。これにより、金融、医療、エネルギー、運輸、通信、政府機関といった社会の基盤を支えるOSSのセキュリティ強化を図るとしています。

AIによる脆弱性発見能力の進化と増大する脅威

現代のデジタル経済は、ほぼすべての層でOSSに依存しています。従来、OSSの深刻な欠陥を発見し修正するには、攻撃者と防御者の双方に高度な専門知識が必要でした。しかし、最先端のAIモデルの登場により、主要なOSSプロジェクトをスキャンし、数分で脆弱性を表面化させることが可能になっています。この能力が広く利用可能になることで、これまで高度なサイバー攻撃を行う技術力を持たなかった攻撃者でも、短期間でその手段を手にする可能性が高まるという状況です。

Akritesの発足にあたり、創設メンバーはテクノロジー業界に向けた共同公開書簡「We All Depend on Open Source. We Will Defend It Together.」を公開しました。全文はAkritesのウェブサイトで閲覧可能です。従来のセキュリティ対応では、複数の組織が同じ問題に個別に対応し、異なる修正パッチが提供されたり、メンテナーに重複した脆弱性報告が寄せられるケースが散見されました。Akritesは、このような状況を改善し、脆弱性への対応、修正、情報開示を一元的かつ信頼できる形で調整する共通基盤を提供します。

協調的な脆弱性対応と政府機関との連携

Akritesは、共有SIRTを通じてメンテナーとの連携を一元化し、重複する報告を排除します。また、重要インフラを運用する組織と連携し、脆弱性が悪用される前に修正パッチを展開できるよう支援するとしています。

この取り組みの中核は機密性の保持にあります。バグの修正は、各プロジェクトのメンテナーの意向に基づき、元のプロジェクトに反映されます。もし重要なパッケージにアクティブなメンテナーが存在しない場合、Akritesが最後の受け皿としてメンテナーの役割を担い、最新バージョンへの修正が迅速かつ確実に利用者に届けられるよう支援する方針です。さらに、同イニシアチブは政府の取り組みとも連携し、官民のセキュリティ対応が足並みをそろえて進められるよう調整を行うとしています。

Linux Foundationが運営する特定目的基金「Alpha-Omega」が、Akritesを支援するためのシード資金を提供しています。Akritesは、重要なOSSのセキュリティ強化に向けて、エンジニアリングリソースや資金を提供する組織の参加を歓迎しており、詳細はAkritesのウェブサイトで確認できます。

Akritesについて
Akritesは、重要インフラが依存するオープンソースソフトウェアの脆弱性について、修正と情報開示を機密保持のもとで連携して進める取り組みです。共有のセキュリティインシデント対応チーム (SIRT) が運営する、一元化・標準化された協調的な脆弱性開示 (CVD) プロセスを提供します。このプロセスは機密性最優先の原則に基づいて構築されており、業界の確立された標準およびツール (CVE、TLP、CWE、CVSS、EPSS、SSVC、VEX) に準拠しています。

Akritesのウェブサイト: https://akrites.org/
Linux Foundationのウェブサイト: https://www.linuxfoundation.org/?hsLang=ja-jp
共同公開書簡: https://akrites.org/letter/
Alpha-Omega: https://alpha-omega.dev/

ソース元:
Linux Foundation and Industry Leaders Launch Akrites to Defend Critical Open Source Software Against AI-Enabled Cyber Threats
https://www.linuxfoundation.org/press/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats