Google、OpenAI、Anthropic、微軟等大廠投入1,250萬美元，強化開源軟體安全計畫Alpha-Omega

隨著AI技術的應用，開源軟體漏洞被發現的速度愈來愈快，層面也愈來愈廣。此外，駭客也開始利用AI尋找漏洞甚至撰寫攻擊程式，使得AI成為攻防端的軍備競賽。這為開源專案維護單位帶來更大挑戰，像是他們面臨排山倒海而來的安全漏洞報告，其中許多是自主系統生成，但這些機構欠缺人力、資金和工具來分類及修補。

Alpha-Omega原本由Amazon、Citi、Google和微軟支持於2022年成立，以維護關鍵開源軟體安全而成立，年度預算超過700萬美元，提供工具、自動化技術、訓練和其他資源給開源社群，包括Apache軟體基金會、Rust基金會、Python及Eclipse軟體基金會等。

最新宣布下，主要雲端平臺及AI開發龍頭包括Google/DeepMind、AWS、微軟/GitHub、OpenAI與Anthropic等AI業者將投入總共1250萬美元作為共同基金，由Alpha-Omega專案與開源軟體安全基金會（OpenSSF）管理，而將安全專案託管在Linux基金會。

透過這專案，Alpha-Omega與OpenSSF可直接和維護單位及其社群合作，快速修補漏洞，並且提供安全工具或整合進現有專案工作流程中，協助改善開源軟體的安全性。

這項計畫可望紓解一些開源軟體專案疲於維護安全的困境。例如Curl維護單位今年稍早因AI生成的漏洞錯誤通報太多，迫使維護者終止抓蟲獎勵方案。此外，Alpha-Omega也可能應用大廠們原本已使用中的安全分析工具。例如Google DeepMind內部使用的Big Sleep和CodeMender，以及整合Google威脅情報、OSV漏洞資料庫及Mandiant威脅情報的Sec-Gemini v1模型，Google已將該模型免費提供給研究社群。