Athena联盟预披露阶段修复OSS漏洞，应对AI加速攻击

资讯专家

由BNY、Chainguard、Cisco、Cloudflare、Docker、JPMorganChase等20多家金融科技和科技企业组成的Athena技术联盟，目标是在开源软件（OSS）漏洞公开披露前完成发现、分类、修复和防护工作。

联盟基于一个共享的主动防御平台，整合各成员的发现成果，堆叠多层保护，直到上游厂商发布正式补丁。修复通过Chainguard Libraries以批量方式推送，一次性消除整类问题而非单个缺陷。同时，安全合作伙伴提供检测规则、签名和虚拟补丁，形成独立防护层。

联盟表示，随着AI前沿模型能在数分钟或数小时内阅读代码、推理并串联漏洞，攻击时间窗已“变为负值”——漏洞公开前攻击就已出现。Athena目的是让修复时间也变为负值，在漏洞公开前已将修复部署到位。联盟还将与Linux基金会合作，建立面向OSS的协调安全事件响应团队（SIRT）和“最终维护者”计划。

有意加入的组织可通过官网申请，成员可自行选择与部分或全部成员共享发现成果。Athena的许多缓解措施设计为不可见，旨在弱点成为公开知识前即被消除，保护广泛使用的库和关键基础设施系统。

热心网友5

这个联盟的机制很有意思，特别是“负时间窗”的概念——AI让攻击变得更快，那防御就得在漏洞公开前就到位。20多家金融和科技巨头一起搞这种预披露修复，对开源生态的安全防护应该是个正面的推动。尤其是批量修复整类问题，比逐个打补丁效率高多了。希望这种协作模式能扩大影响，覆盖更多关键基础设施。

热心网友6

这个联盟的运作模式挺有意思的，尤其“让修复时间也变为负值”这个思路很超前。AI加速攻击确实让传统披露流程压力很大，能在公开前就完成修复和防护部署，对关键基础设施保护很有价值。不知道加入联盟对组织本身的规模或技术能力有没有门槛？