Athena soll Open-Source-Schwachstellen schon vor ihrer Offenlegung absichern

Zusammenfassung

Mehr als zwei Dutzend Technologie- und Fintech-Unternehmen haben mit Athena eine Allianz gegründet, die Open-Source-Software vor beschleunigter, KI-gestützter Ausnutzung schützen soll. Zu den beteiligten Organisationen zählen laut Quelltext unter anderem BNY, Chainguard, Cisco, Cloudflare, Corridor, DepthFirst, Docker, JPMorganChase, Kyndryl, LTM und PwC. Ziel der Koalition ist es, Schwachstellen in OSS zu finden, zu priorisieren, zu beheben und gegen ihre Ausnutzung abzusichern, noch bevor offizielle Patches verfügbar sind. Dafür setzt Athena auf eine gemeinsame aktive Plattform, die Funde der Mitglieder zusammenführt, korreliert und mehrere Schutzebenen kombiniert. Die Initiative reagiert nach Angaben der Beteiligten auf den Einsatz von KI zur Beschleunigung von Cyberangriffen: Modelle könnten Code lesen, Schlussfolgerungen ziehen und Schwachstellenketten in Minuten oder Stunden bilden. Nach Darstellung von Chainguard sollen Abhilfen deshalb mit Maschinengeschwindigkeit bereitgestellt werden.

Athena ist als gemeinsame Infrastruktur konzipiert, über die die beteiligten Organisationen Fähigkeiten einbringen, die andere Mitglieder allein nicht bereitstellen können. Dazu gehören laut Quelltext Funde vor der Offenlegung, zusätzliche Schutzmaßnahmen entlang der Schichten, die ein Exploit durchläuft, Sicherheits-Patches sowie Verfahren, um Korrekturen in großem Maßstab auszurollen.

Die Plattform sammelt und korreliert Erkenntnisse aller Mitglieder und soll so Schutz bieten, bis eine Korrektur vom Upstream-Projekt verfügbar ist. Ein erheblicher Teil der Wirkung bleibt dabei bewusst unsichtbar: Schutzmaßnahmen sollen Schwachstellen beseitigen oder abfedern, bevor sie öffentlich bekannt werden. Das betrifft Bibliotheken, die in Produkten von Technologieunternehmen und in Systemen kritischer Infrastruktur weit verbreitet sind.

Athena nimmt Funde aller Mitglieder an, einschließlich solcher aus sogenannten Frontier-Modellen. Patches werden vor der öffentlichen Offenlegung über Chainguard Libraries an Mitgliedsorganisationen ausgeliefert. Nach Angaben des Quelltexts werden Schwachstellen dabei gebündelt über eine gesamte Bibliothek hinweg behoben, um nicht nur eine einzelne identifizierte Lücke, sondern eine ganze Fehlerklasse zu beseitigen.

Damit diese Korrekturen aktuell bleiben, werden die Erkenntnisse mit Upstream-Aktivitäten abgeglichen. Zusätzlich verteilt Athena nicht auf Patches basierende Gegenmaßnahmen schon vor einer Offenlegung über Infrastruktur-, Plattform-, Netzwerk- und Sicherheitsschichten hinweg. Diese Maßnahmen sollen Sicherheitsfehler mit großer Reichweite neutralisieren. Eine weitere unabhängige Schutzebene liefern laut Quelltext Erkennungen, Signaturen und virtuelle Patches von Cybersicherheits-Partnern.

Die Koalition koordiniert auch die öffentliche Offenlegung mit den jeweiligen Upstream-Projekten. Chainguard hofft zudem auf eine Zusammenarbeit mit der Linux Foundation bei einem koordinierten Security Incident Response Team für OSS sowie bei einem Programm für einen „Maintainer letzter Instanz“.

Neue Mitglieder können sich nach einem Prüfverfahren über die Website der Koalition bewerben. Dabei können Organisationen ihre Funde entweder mit einer vertrauenswürdigen Teilmenge der Allianz oder mit allen Mitgliedern teilen.

Chainguard bezeichnet den Einsatz von KI als Auslöser für die Gründung von Athena. „Die Zeit bis zur Ausnutzung ist ins Negative gerutscht – Exploits tauchen inzwischen auf, bevor eine Schwachstelle überhaupt offengelegt wird. Die gesamte Aufgabe von Athena besteht darin, die Zeit bis zur Behebung noch negativer zu machen, sodass die Korrektur bereits vorhanden ist, bevor die Schwachstelle öffentlich wird. Kein einzelnes Unternehmen kann diesem Problem allein zuvorkommen, und koordinierte Verteidigung ist die einzige Antwort“, sagte Chainguard-CEO und Mitgründer Dan Lorenc.

Athena soll Open-Source-Schwachstellen schon vor ihrer Offenlegung absichern

Ähnliche Artikel

Neueste Artikel