Linux Foundation は 20 社の企業・AI ラボ・金融機関と共同で「Akrites」というセキュリティイニシアティブを立ち上げた。AI ツールがオープンソースの脆弱性を発見・悪用する前に、ウィドスプレッドな OSS プロジェクトの脆弱性を特定し修正する体制を構築する。

Akrites の構造と参加企業

参加企業は Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorgan Chase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone、Zscaler の 14 社に加え、6 社以上が加わる計 20 社以上。

中核は Security Incident Response Team(SIRT)で、以下の役割を担当する:

  • 単一の窓口: メンテナーが脆弱性報告に使う「信頼できる連絡先」となる
  • 重複除外: 複数の報告者から同じ脆弱性が報告された場合、SIRT が一本化
  • 標準化: CVE・CVSS・TLP(Traffic Light Protocol)に従う統一的な開示プロセス
  • 最後のメンテナー: メンテナーが不在や放棄されたプロジェクトに対しては SIRT が直接パッチを配布

AI がもたらす「脆弱性発見の民主化」

プログラムが立ち上げられた背景には、最新 AI の能力がある。「最新 AI は大規模プロジェクトを数分でスキャンできる」という現実。これまで脆弱性の発見には高度なセキュリティスキルが必要だったが、生成 AI が登場したことで、攻撃スキルの低い者でも効率的にエクスプロイトを開発できるようになった。Akrites は、その脅威を先制的に防ぐ構え。

ファンディングと実施体制

資金は Alpha-Omega という Linux Foundation 傘下のファンドから提供される。Alpha-Omega はクリティカルなオープンソースプロジェクトのセキュリティ向上を目的とした組織。

記事時点では、実装のタイムラインは明かされていないが、urgency が高いことから、数ヶ月以内の本格稼働が予想される。

開発者・企業への影響

オープンソース依存度の高いエコシステムにおいて、Akrites は重要なインフラになる可能性がある。企業の CI/CD パイプラインが依存するライブラリやツールが、AI 攻撃より先に修正される環境が作られる。同時に、メンテナーが少ないプロジェクトにとっても「最後の砦」となる。

記事掲載日: 2026 年 6 月 26 日