IBM 聯手旗下開源子公司紅帽(Red Hat)正式推出「Project Lightwell」計畫,投資 50 億美元並調集 2 萬名全職工程師,以前沿 AI 技術大規模掃描開源軟體漏洞。美國銀行、摩根大通、Visa、萬事達卡、富國銀行和摩根士丹利已作為早期合作方接入平台,防護範圍從紅帽自有環境大幅擴充套件至 AI 框架、程式碼庫與 Apache Kafka 等分散式基礎設施。由動區動趨整理報導。
(前情提要:月下載近億次 AI 套件 LiteLLM 爆供應鏈攻擊,加密錢包、SSH 金鑰全面淪陷)
(背景補充:AI 安全新創 Depthfirst 擊敗 Anthropic Mythos!揪出 NGINX 潛伏 18 年漏洞)
重點摘要
- IBM 聯手紅帽推出 Project Lightwell,投資 50 億美元、調集 2 萬名工程師以 AI 技術識別修復開源軟體漏洞
- 美國銀行、摩根大通、Visa、萬事達卡、富國銀行、摩根士丹利已作為早期合作方接入平台
- 防護範圍從紅帽自有系統擴充套件至 AI 框架、程式碼庫及 Apache Kafka 等廣泛開源技術生態
今年以來,開源軟體供應鏈攻擊的頻率和破壞力正在加速升級。3 月,月下載量近億次的 AI 套件 LiteLLM 被植入惡意程式碼,竊取加密錢包私鑰和 SSH 金鑰;5 月,連 OpenAI 員工的電腦都被 TanStack npm 供應鏈攻擊波及。IBM 選在這個時間點出手,把旗下紅帽的安全能力從「自家系統」擴充套件到整個開源生態系。
Project Lightwell 的規模不小,包括 50 億美元投資,2 萬名全職工程師。這些工程師全部來自 IBM 現有員工編制,百分之百專注於漏洞識別與修復,不是外包、不是兼職、不是掛名顧問。
紅帽再度擴張
以往紅帽的安全工具和漏洞掃描主要侷限於自身的系統環境,例如 RHEL(Red Hat Enterprise Linux)和 OpenShift。
Project Lightwell 打破了這道邊界。防護範圍大幅向外擴充套件,覆蓋包括 AI 框架(TensorFlow、PyTorch 等)、開源程式碼庫,以及分散式資料流平台 Apache Kafka 在內的更廣泛技術生態。Kafka 在全球金融業被大量使用,摩根大通一度開出超過 500 個要求 Kafka 經驗的職缺,它是即時交易處理、風控監控、監管報告的底層神經系統。
當你的即時支付系統底層跑的是 Kafka,而 Kafka 的某個 dependency 被植入惡意程式碼時,防火牆幫不了你。IBM 瞄準的就是這一層。
六大金融巨頭先上車
Project Lightwell 宣布時就帶上了六家早期合作方:美國銀行(Bank of America)、摩根大通(JPMorgan Chase)、Visa、萬事達卡(Mastercard)、富國銀行(Wells Fargo)和摩根士丹利(Morgan Stanley)。
這份名單基本涵蓋了美國金融業的核心,內含兩家最大商業銀行、兩大卡組織、一家財富管理龍頭、一家零售銀行巨擘。它們的共同點是深度依賴開源基礎設施,從 Kafka 到 Kubernetes 到各種 AI 推論框架,每一層都有可能成為供應鏈攻擊的入口。
IBM 今年 5 月才剛宣布擴充套件旗下 AI 安全產品組合,並以 Project Glasswing 的名義深化與 Anthropic 的合作,Project Lightwell 是同一盤棋的下一步。
對金融業來說,這道防線來得不算太早。今年光是前五個月,開源供應鏈攻擊就已經讓多家科技公司和開發者付出巨大代價。
常見問題
Project Lightwell 的 2 萬名工程師是新招聘的嗎?
不是。這 2 萬名全職工程師全部來自 IBM 現有員工,百分之百專注於開源軟體的漏洞識別與修復工作,不涉及外部招聘。
Project Lightwell 與紅帽原有的安全服務有什麼不同?
以往紅帽的安全工具主要侷限於自身系統環境(如 RHEL、OpenShift),Project Lightwell 將防護範圍擴充套件至 AI 框架、開源程式碼庫及 Apache Kafka 等更廣泛的開源技術生態。
📍相關報導📍
OpenAI 證實兩臺員工電腦遭 TanStack 供應鏈攻擊波及,ChatGPT、Codex macOS 使用者須在 6/12 前更新
Vercel 遭駭、加密開發者急換 API Key:AI 工具 Context.ai 成破口,Web3 前端供應鏈拉警報
