Akrites ist als gemeinsames Security Incident Response Team für das Open-Source-Ökosystem angelegt. Laut Linux Foundation soll es die koordinierte Suche nach Schwachstellen, deren Behebung und die spätere öffentliche Offenlegung organisieren. Ziel ist es, Meldungen zu bündeln und Schwachstellen bereits vor einer koordinierten Veröffentlichung zu prüfen und zu adressieren.

Der Ansatz erinnert an Athena, eine von Chainguard vor weniger als zwei Wochen angekündigte Allianz aus mehr als zwei Dutzend Fintech- und Technologieorganisationen. Chainguard hatte damals erklärt, man werde mit der Linux Foundation an einem koordinierten SIRT zusammenarbeiten. Als Begründung nannte das Unternehmen, dass der zunehmende Einsatz von KI in Cyberangriffen das Zeitfenster zwischen öffentlicher Offenlegung und dem Einspielen von Patches faktisch schließe.

Die aktuelle Ankündigung der Linux Foundation erwähnt Athena zwar nicht. Inhaltlich verfolgt Akrites jedoch denselben Kurs: Das Projekt soll Kanäle und Werkzeuge bereitstellen, um Open-Source-Schwachstellen zu melden, zu validieren und vor ihrer koordinierten öffentlichen Offenlegung zu beheben.

Zu den Unterstützern von Akrites zählen Anthropic, AWS, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft und GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone und Zscaler. Mehrere dieser Namen waren laut Quelltext auch unter den Mitgliedern von Athena vertreten.

Die Anschubfinanzierung für Akrites stammt aus dem zweckgebundenen Alpha-Omega-Fonds der Linux Foundation. Weitere Organisationen beteiligen sich mit Engineering-Ressourcen und zusätzlicher Finanzierung.

Neben einer vertraulichen und vertrauenswürdigen Stelle für die Offenlegung von Schwachstellen soll Akrites nach Angaben der Linux Foundation auch unkoordinierte, voneinander unabhängige Meldungen in großer Zahl vermeiden. Zudem will das Projekt mit Betreibern kritischer Infrastruktur zusammenarbeiten, damit Korrekturen ausgerollt werden können, bevor es zu einer Ausnutzung in freier Wildbahn kommt.

Die Linux Foundation beschreibt dabei ausdrücklich die Beschleunigung auf Angreiferseite: „Wenn Patches öffentlich freigegeben werden, können Gegner KI nutzen, um die zugrunde liegenden Schwachstellen schnell rückzuentwickeln, Exploits zu entwickeln und Angriffe zu starten. Der Erfolg unserer Bemühungen wird deshalb an der Bereitstellung von Patches gemessen, nicht an der Veröffentlichung.“

Akrites wurde nach Darstellung der Linux Foundation mit starkem Fokus auf Vertraulichkeit aufgebaut. Das soll verhindern, dass Schwachstellen vor der Verfügbarkeit von Korrekturen bewaffnet werden. Außerdem ist vorgesehen, dass Akrites als letzter zuständiger Betreuer einspringt, damit auch für Pakete noch Korrekturen bereitgestellt werden können, die nicht mehr gepflegt werden.