En donation på drygt 100 miljoner kronor ska hjälpa öppen källkod att hantera genombrottet för användandet av AI för att söka efter sårbarheter i kod.
AI-debugging har fört med sig två rakt motsatta problem. Dels översvämmas kodprojekt av dåliga, hallucinerade, felaktiga buggrapporter, genererade av AI. Det är enkelt att be Chat GPT eller Claude generera en buggrapport. Kanske hoppas rapportören på de prispengar som delas ut för buggfynd.
Dels skedde i fjol även ett genombrott där AI faktiskt började uppdaga verkliga buggar i kod. Anthropic, Open AI och Google Deepmind har verktyg som autonomt hittar buggar – och det är buggar av ett slag som existerande buggverktyg är blinda för.
Det betyder att kodvärlden hamnat i ett akut läge. För om de goda kan gräva upp sårbarheter på ett nytt sätt kan de onda också göra det.
Tiden blir en faktor på ett nytt sätt. Angripare kan med hjälp av AI hitta sårbarheter samma dag som ny kod publiceras. Det finns inget andrum.
Programfelen måste snabbt identifieras och ersättas av fungerande kod – även där kan AI förmodligen hjälpa till.
De tre nämnda AI-företagen finns bland de som nu donerar 12,5 miljoner dollar till att upprusta öppenkodsprojektet till att kunna hantera den nya AI-jakten på sårbarheter. Projekten behöver nya verktyg och nya processer.
Även de övriga donatorerna – Amazon, Github och Microsoft – har projekt inom AI-assisterad sökning efter sårbarheter i kod.
Pressmeddelandet från Linuxstiftelsen säger att donationen är till för att hjälpa projektens förvaltare.
– De möter ett aldrig tidigare skådat inflöde av säkerhetsfynd, varav många genereras av automatiserade system, utan de resurser och verktyg som krävs för att hantera och åtgärda dem effektivt.
Pressmeddelandet säger inte exakt hur pengarna ska användas.
Öppenkodsprojekt som svenska Curl har redan fått access till felsökningsverktyg i den nya AI-generationen. Och Deepmind deklarerar i pressmeddelandet att det i någon form kommer att bjuda på resultat från sina projekt Big Sleep och Codemender.
Öppenkodsprojekten som får pengarna är supply chain-projektet Alpha-Omega och säkerhetsprojektet Open SSF (Open Source Security Foundation).
Google Deepmind har bestämt sig för att vända på steken. AI ska stärka försvararna mer än det stärker angriparna.
– Vi fokuserar på att omvandla AI:s förmåga att hitta och åtgärda sårbarheter till en massiv defensiv fördel, säger Deepmind i Linuxstiftelsens pressmeddelande.