- Chainguard lançou a coalizão Athena, que usa IA para encontrar e corrigir vulnerabilidades de código aberto antes que atacantes as explorem.
- A coalizão reúne mais de duas dezenas de empresas, incluindo JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl e PwC, para compartilhar dados, IA e remediação de falhas.
- O objetivo é substituir correções isoladas por um modelo coordenado que identifique falhas críticas de software de código aberto e as integre upstream antes de virarem exploração pública.
- O programa prevê etapas como descoberta de vulnerabilidades, remediação pré-embargo em cópias privadas, reconciliação contínua com upstream, e mitigação em plataformas e redes, com aumento de detecção e patches virtuais.
- A iniciativa firma-se como complemento aos produtos seguros da Chainguard e busca conformidade regulatória, além de acompanhar iniciativas de organizações como OpenSSF e grandes players de tecnologia.
Chainguard lança a coalizão Athena para corrigir falhas de código aberto antes que sejam exploradas. O grupo reúne mais de duas dezenas de empresas para usar IA na identificação e remediação rápida de vulnerabilidades em software amplamente utilizado. A iniciativa surge diante do aumento de ataques que aproveitam falhas não divulgadas publicamente.
Entre os apoiadores estão JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl e PwC. Empresas de infraestrutura e finanças veem na colaboração uma forma de compartilhar dados, capacidades de IA e atividades de correção que atravessam seus ambientes. O objetivo é evoluir de correções pontuais para um modelo coordenado.
Athena promete atuação rápida. Irá vasculhar código fonte aberto e grafos de dependências para sinalizar fraquezas, que serão validadas e corrigidas upstream. A ideia é agir antes que os invasores utilizem as falhas descoberta.
Como funciona o processo, em linhas gerais:
- Descoberta: achados validados são reunidos pela coalizão, com apoio de pesquisas avançadas de projetos como Glasswing e Daybreak.
- Remediação pré-lançamento: cópias privadas endurecidas são disponibilizadas a membros antes da divulgação pública.
- Reconciliação contínua: cada achado é confrontado com atividades upstream ao longo do embargo.
- Mitigações: parceiros avançam controles além de patches, com assinaturas e regras de tráfego.
- Divulgação upstream: a coalizão impulsiona divulgação coordenada e trabalha com a Linux Foundation em resposta a incidentes.
A iniciativa está integrada à linha de produtos da Chainguard, que prioriza builds seguros, artefatos com SBOM, imagens mínimas e pacotes reescritos a partir do código-fonte. Ao incorporar as descobertas de Athena, a empresa busca acelerar a entrega de ambientes mais seguros.
OpenSSF, IBM e Red Hat também atuam no tema. A OpenSSF trabalha no projeto OSS-CRS, um framework para gerenciar sistemas autônomos de detecção e correção com IA. Reguladores e CISOs acompanham para entender se a IA colaborativa reduz bugs exploráveis de forma mensurável.
Lorenc, CEO da Chainguard, afirmou que Athena já está em operação, com milhares de achados e centenas de patches em centenas de projetos. A coalizão pretende ampliar a atuação e reduzir a fragmentação no ecossistema de código aberto.
Entre na conversa da comunidade