ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- Chainguard는 AI를 사용하여 오픈 소스 코드를 보호합니다.
- Athena는 오픈 소스 사용자, 개발자 및 유지 관리 담당자를 모읍니다.
- 다른 사람들도 오픈 소스 코드를 보호하기 위해 AI를 사용하고 있습니다.
IT 분야의 모든 사람이 알고 있거나 알아야 하는 것처럼 AI는 오픈 소스 코드 보안을 공격하는 데 새로운 전선을 열었습니다. 해킹에는 실제 기술이 필요했습니다. 이제 충분히 발전된 AI 모델을 갖춘 사람이라면 누구나 열린 프로그램을 엿보고 이를 AI 맞춤형 악성 코드로 감염시킬 수 있습니다. 제로 CVE 컨테이너 이미지와 보안이 강화된 오픈 소스 코드를 전문으로 하는 소프트웨어 회사 Chainguard가 Athena를 통해 공격자를 물리치기 위해 다른 업체들과 협력하고 있습니다.
Chainguard는 다음과 같이 설명합니다. “취약점이 발견된 것과 악용되는 것 사이의 격차가 몇 년에서 몇 시간으로 줄어들었고 버그가 공개되기 전에 점점 더 많은 악용이 무기화되었습니다. 심각한 결함을 찾는 데 몇 주가 걸리고 대상이 거의 없는 세상을 위해 조정된 공개가 구축되었습니다. 그 세상은 사라졌습니다.” 체인가드님 말씀이 맞습니다. 그것은.
또한: 통제력을 잃기 전에 AI 에이전트를 열정적이지만 잘못된 방향으로 인도하는 인간 인턴처럼 대하십시오.
뭔가를 해야 했습니다. 회사의 CEO이자 공동 창립자인 Dan Lorenc는 LinkedIn에 “아무도 화해할 수 없는 12개의 경쟁 패치 세트에 오픈 소스 보안 조각을 포함시키는 것과 대신에 어렵고 조율된 일을 하는 것 사이에서 선택권이 있었습니다. 나는 우리가 함께 구축해야만 효과가 있을 것이라고 말했지만 실제로 그렇게 할 수 있을지 전혀 모른다고 인정했습니다. 업데이트는 다음과 같습니다. 업계가 나타났습니다. Athena라고 불리며 라이브입니다.”
Cisco의 SVP이자 최고 보안 및 신뢰 책임자인 Anthony Grieco도 이에 동의합니다. “수십 년 동안 Cisco는 오픈 소스 생태계를 보호하는 데 도움을 주었습니다. 이 작업은 이제 새로운 긴급 상황에 직면해 있습니다. 프론티어 AI는 기존의 조정된 공개가 처리하도록 구축된 것 이상으로 취약성 발견 주기를 가속화했습니다. Chainguard의 Athena Coalition은 이러한 위협이 요구하는 속도에 맞춰 오픈 소스 취약성 인텔리전스와 방어를 조정하는 중요한 진화를 나타냅니다.”
체인가드는 AI를 방어 방패로 활용합니다.
Athena는 두 부분으로 제공됩니다. 첫 번째는 최첨단 AI 모델을 사용하여 널리 사용되는 오픈 소스 소프트웨어의 결함을 찾아 해결하기 위해 협력할 20개 이상의 회사로 구성된 연합입니다. JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl 및 PwC와 같은 금융 및 엔터프라이즈 인프라 회사의 지지자들은 누구입니까?
또한: AI 시대에 비즈니스에서 실수할 수 없는 5가지 보안 전략과 이것이 중요한 이유
이들 기업은 이미 소프트웨어 공급망 위험에 대한 엄격한 규제 및 고객 압력에 직면해 있습니다. 연합은 스택 전반에 걸쳐 발생하는 취약점에 대한 데이터, AI 기능 및 해결 작업을 통합할 수 있는 방법을 제공합니다. 목표는 일회성 프로젝트별 수정에서 중요한 AI 식별 오픈 소스 소프트웨어 결함이 공격자 플레이북에 나타나기 전에 찾아 해결할 수 있는 조정된 모델로 전환하는 것입니다.
공격자가 결함을 발견하기 전에 결함 수정
기술적으로 Athena의 핵심 약속은 속도입니다. 공격자가 발견하기 전에 오픈 소스 취약점을 찾아서 패치할 것입니다. 이 프로그램에 따라 AI 시스템은 엄청난 양의 오픈 소스 코드와 종속성 그래프를 조사하여 잠재적인 약점을 표시하여 업스트림에서 검증하고 수정할 수 있습니다.
또한: 새로운 속도의 AI 공격에 맞서 네트워크를 강화하는 5가지 방법
그러나 때로는 패치가 우리가 원하거나 필요한 만큼 빨리 제공되지 않는 경우도 있습니다. 이 문제를 해결하기 위해 Chainguard는 다음과 같이 설명합니다. “Athena는 깨끗한 패치가 아직 적용되지 않은 경우에도 적용 범위가 존재하도록 독립적인 보호 계층을 쌓고 내구성 있는 업스트림 수정 사항이 적용될 때까지 모든 결함을 유지합니다.”
이 접근 방식은 다음과 같습니다.
- 발견 – Anthropic의 Project Glasswing 및 OpenAI의 Daybreak와 같은 선도적 연구 프로그램을 포함하여 연합 전체에서 검증된 결과가 수집됩니다. Athena는 모든 프론티어 모델에서 생성된 결과를 받아들입니다.
- 금수 조치 전 수정 – 비공개 포크와 재구축된 강화된 버전은 공개되기 전에 Chainguard 라이브러리를 통해 회원에게 제공됩니다. 발견 사항은 전체 라이브러리에 걸쳐 일괄 처리되어 단일 버그가 아닌 전체 클래스의 문제에 대해 강화됩니다. 모델에 결함이 먼저 드러나면 더 유능한 모델이 등장하더라도 침묵을 유지합니다.
- 지속적인 조정 – 모든 결과는 금수 조치 기간 동안 업스트림 활동과 조정되어 독립적인 발견을 포착하고 프로젝트가 진행됨에 따라 수정 사항을 최신 상태로 유지합니다.
- 플랫폼, 네트워크 및 인프라 완화 – 인프라, 플랫폼, 네트워크 및 보안 계층을 운영하는 파트너는 공개되기 전에 비패치 완화를 푸시합니다. 감지 서명, 트래픽 수준 규칙, 영향을 받는 소프트웨어를 건드리지 않고 시스템 속도 및 광범위한 도달 범위에서 결함을 무력화하는 플랫폼 측 블록이 포함됩니다.
- 탐지 및 공급업체 완화 – 사이버 보안 파트너는 자체 탐지, 서명 및 가상 패치를 추가 독립 계층으로 추가합니다.
- 업스트림 공개 및 하드 포크 – 연합은 업스트림 공개를 조정했으며 Chainguard는 Linux 재단과 협력하여 오픈 소스 및 최후의 수단 유지 관리 프로그램을 위한 조정된 보안 사고 대응 팀을 구축하기를 희망합니다.
또한: 그를 화나게 만드는 AI 주장과 보안 연구원들이 절대 해서는 안 되는 일에 대한 Linus Torvalds
Chainguard는 SLSA 레벨 3 호환 빌드, 소프트웨어 BOM(Software Bill of Materials)이 포함된 서명된 아티팩트, 최소 이미지, 매일 소스에서 재구성되는 패키지를 포함하는 기본 보안 제품 라인에 이 이니셔티브를 직접 연결하여 취약점 수를 거의 0에 가깝게 유지합니다. Athena의 연구 결과를 이 공장에 공급함으로써 회사는 수정 사항이 포함된 강화된 컨테이너, 라이브러리, 가상 머신(VM) 및 오픈 소스 패키지를 신속하게 배송할 수 있다고 말합니다. 동시에 이는 고객에게 FedRAMP 및 HIPAA부터 EU의 사이버 복원력법 및 NIS2에 이르는 규정 준수 체제에 대한 명확한 출처 추적을 제공합니다.
오픈소스 AI 보안 경쟁의 새로운 전선
오픈 소스 코드 보안과 관련하여 모든 사람이 같은 입장을 취하도록 노력하는 사람들은 Chainguard와 그 친구들 뿐만이 아닙니다. IBM과 Red Hat은 이 문제를 해결하기 위해 수십억 달러와 수천 명의 엔지니어를 투입하고 있습니다.
오픈소스 보안 재단(OpenSSF)도 AI/ML 보안 워킹 그룹 내에서 새로운 오픈 소스 프로젝트로 OSS-CRS를 작업하고 있습니다. 이는 LLM 기반 자율 버그 발견 및 버그 수정 시스템을 구축하고 실행하기 위한 표준 오케스트레이션 프레임워크입니다.
또한: 오픈 소스 보안은 엉망입니다. IBM과 Red Hat은 50억 달러를 걸고 20,000명의 엔지니어가 문제를 해결할 수 있습니다.
AI 보안 스토리를 지켜보는 CISO와 규제 기관에게 Athena는 오픈 소스 취약성에 대한 AI 증강 협업이 마케팅 슬로건을 넘어 악용 가능한 버그를 측정 가능한 수준으로 줄일 수 있는지 여부를 테스트하는 사례가 될 것입니다. 개인적으로는 Chainguard와 회사가 해낼 수 있다고 생각합니다.
결국 Lorenc이 지적했듯이 “Athena는 현재 운영 중입니다. 20,000개 이상의 조사 결과가 처리되었으며, 500개 프로젝트에 걸쳐 2,000개의 패치가 약 한 달 만에 처음으로 공개를 조정했습니다.”
그러나 Lorenc이 말했듯이 “완벽할까요? 아니, 누구도 그렇지 않은 척해서는 안 됩니다. 그러나 단편화는 더 심하고 가만히 서 있는 것은 생존할 수 없으며 산업이 더 많이 참여할수록 공격자가 찾을 수 있는 것이 더 적습니다. 우리와 함께 하십시오.” 그래야 합니다. 코드를 저장하려면 Athena와 같은 노력이 필요합니다.
완벽 가이드 보기