Linux Foundation se une a Microsoft, Amazon, Nvidia y otras grandes compañías para crear Akrites: un equipo de ciberseguridad para defender el software de código abierto de los ataques impulsados de la IA

La Fundación Linux ha anunciado la creación de una formación compuesta por casi 20 organizaciones y destinada a proteger el software de código abierto de la inteligencia artificial. Su nombre es Akrites.

La IA ha abierto un nuevo paradigma y, aunque hay países que ya la estudian y regulan, como es el caso de la normativa actualmente vigente en los países de la Unión Europea, aún quedan flecos sin cubrir.

Aquí es donde el software de código abierto tiene algo que decir, con una nueva coalición de organizaciones que lo apoyan, que ha anunciado "un esfuerzo coordinado para corregir las vulnerabilidades" de este tipo de software.

Akrites, una idea que viene de los guardianes del Imperio bizantino

Las compañías que han decidido poner este proyecto en marcha son Vodafone, Zscaler, Sonatype, Red Hat, Cisco, Anthropic, RapidFort, PyTorch, OpenSSF, OpenJS, OpenInfra, Nvidia, Microsoft, GitHub, LF Energy, JPMorganChase y Google, entre otras.

El nombre que recibe esta iniciativa es Akrites, que proviene de Akritai, los guardianes de la frontera del Imperio bizantino, que se encargaban de proteger las zonas que se veían amenazadas en primer lugar y donde las defensas eran más débiles.

En este sentido, desde la coalición, han reconocido en una carta abierta que las herramientas de seguridad basadas en IA han reducido el coste de detectar las vulnerabilidades graves en el software, "pasando de semanas de trabajo de expertos a minutos de escaneo automatizado".

Con ello, han indicado que "la misma capacidad de IA que puede ayudar a fortalecer este software, en manos equivocadas, convertirá el descubrimiento de vulnerabilidades en un proceso automatizado", motivo suficiente para que no se asuma este riesgo como algo que forma parte del "futuro".

En base a este cambio, han aceptado que "los defensores de software de código abierto deben adaptarse" y que deben unir fuerzas para que el trabajo sea efectivo, debido a que "ninguna organización puede resolver esto por sí sola". "Actuar de forma independiente solo empeora el problema", han manifestado.

Con ello, han insistido en la importancia que tiene cuidar este código, debido a que hoy en día "sustenta la infraestructura crítica mundial y los servicios" de los que depende el mundo, como la banca, las telecomunicaciones o las bibliotecas open-source.

La Fundación Linux presenta un Servicio de Nombres de Agente (ANS) similar a las DNS pero para los agentes de la IA

Cómo funciona Akrites

Akrites es una propuesta que tiene detrás "un equipo compartido y dedicado de respuesta a incidentes de seguridad", ofreciendo a los responsables del mantenimiento, que son las firmas anteriormente mencionadas, "un único socio predecible en lugar de un centenar de informes descoordinados".

De esta manera, Akrites trabaja en la fase inicial para solucionar los problemas desde su origen y apoya los esfuerzos posteriores para proteger la infraestructura crítica antes de que pueda ser explotada.

Todo esto, además, se desarrolla en la más estricta confidencialidad, un rasgo que, para quienes firman esta iniciativa, "es innegociable". "Una vulnerabilidad no revelada en un paquete ampliamente implementado es, en efecto, un arma, y el programa se diseña prioritariamente para prevenir filtraciones", con correcciones dedicadas que se integran en cada proyecto.

De esta manera, los firmantes se han comprometido a seguir un procedimiento específico con el que esperan poder reducir al máximo los posibles riesgos derivados de la IA. 

Así, una vez una brecha sea identificada (Admisión), pasará a ser estudiada para eliminar posibles duplicados. A continuación, se procede a lanzar el parche correspondiente (Remediar) y poner en marcha una divulgación sincronizada para evitar nuevos ataques.