- เมื่อการค้นพบช่องโหว่ด้วย AI เร็วกว่าความสามารถในการตอบสนองของผู้ดูแลโครงการ Akrites จึงก่อตั้งขึ้นในฐานะความร่วมมือของภาคอุตสาหกรรมเพื่อเสริมความแข็งแกร่งให้ซอฟต์แวร์โอเพนซอร์สที่สำคัญร่วมกัน
- การค้นพบช่องโหว่ร้ายแรงในอดีตเคยเป็นงานที่ผู้เชี่ยวชาญต้องใช้เวลาหลายสัปดาห์ แต่ตอนนี้ โมเดล AI สามารถค้นหาช่องโหว่ได้หลายรายการภายในไม่กี่นาที ทำให้ภาระในการรับมือเพิ่มขึ้นอย่างรวดเร็ว
- AWS, Anthropic, Chainguard, Cisco, Citi, Ericsson, Google, IBM, Microsoft และ GitHub, NVIDIA, OpenAI, Red Hat, Rust Foundation เป็นต้น ตกลงจะประสานงานด้าน การแก้ไขต้นน้ำ และการเปิดเผยอย่างมีความรับผิดชอบ
- Akrites ให้จุดประสานงานลับและทีม Security Incident Response Team เฉพาะทาง เพื่อลดการรายงานซ้ำซ้อนและแพตช์ที่ขัดแย้งกัน และจะทำหน้าที่เป็นผู้ดูแลทางเลือกสุดท้ายสำหรับแพ็กเกจสำคัญที่ไม่มีผู้ดูแล
- เนื่องจากหลังการเปิดเผยแพตช์ ผู้โจมตีสามารถใช้ AI ย้อนวิศวกรรมช่องโหว่ได้ เกณฑ์ความสำเร็จจึงไม่ใช่แค่การเปิดเผย แต่คือ การนำแพตช์ไปติดตั้งใช้งานจริง
AI เปลี่ยนความเร็วของความปลอดภัยโอเพนซอร์ส
- โอเพนซอร์สได้กลายเป็นรากฐานของ โครงสร้างพื้นฐานและบริการสำคัญ ที่ผู้คนพึ่งพาทุกวัน เช่น ธนาคาร โทรคมนาคม และสาธารณูปโภค
- เมื่อองค์ประกอบโอเพนซอร์สเดียวกันถูกใช้อย่างแพร่หลายในสแต็กเทคโนโลยีจำนวนมาก ระบบจำนวนมากจึงแบ่งปันข้อบกพร่องแฝงชุดเดียวกันไปด้วย
- AI กำลังเปลี่ยนสมดุลระหว่างผู้โจมตีกับผู้ป้องกัน และลดต้นทุนของการค้นหาและนำช่องโหว่กลับมาใช้ซ้ำ
- การค้นพบช่องโหว่ร้ายแรงในอดีตต้องใช้เวลาหลายสัปดาห์สำหรับผู้เชี่ยวชาญ แต่ตอนนี้เครื่องสามารถทำได้ภายในไม่กี่นาที
- บางครั้งโมเดล AI สามารถส่งคืนช่องโหว่หลายรายการได้ในการรันเพียงครั้งเดียว
- ความสามารถเดียวกันนี้ใช้เพื่อการป้องกันได้เช่นกัน แต่หากถูกนำไปใช้ในทางที่ผิด การค้นพบช่องโหว่อาจกลายเป็น กระบวนการแบบสายพาน ได้
โครงสร้างที่กดดันผู้ดูแลจากการรายงานซ้ำซ้อน
- กระบวนการตอบสนองและเปิดเผยด้านความปลอดภัยแบบเดิมเป็นลักษณะที่หลายองค์กรและหลายทีมทำงานแยกกันอย่างหลวม ๆ จึงอาจเกิดการจัดการปัญหาเดียวกันพร้อมกัน หรือมีทั้งแพตช์ที่ขัดแย้งกันและรายงานหลายฉบับ
- หากบริษัทหลายสิบแห่งสแกนไลบรารีเดียวกันอย่างอิสระและส่งรายงานของตนเอง ผู้ดูแลก็จะ จมหายไปกับสัญญาณรบกวน
- ยิ่งมีผู้ที่รู้จักช่องโหว่ที่ยังไม่ถูกแพตช์มากขึ้น ความเป็นไปได้ที่จะรั่วไหลก่อนการแก้ไขก็ยิ่งเพิ่มขึ้น และความเสี่ยงนั้นจะแพร่ไปทั้งระบบนิเวศ
- แม้แต่การตอบสนองด้วยเจตนาดีแต่ไร้การประสานงานก็อาจทำให้ปัญหาเลวร้ายลงและสิ้นเปลืองเวลา
วิธีการตอบสนองร่วมกันของ Akrites
- Akrites เปิดตัวในฐานะความพยายามในการนำระบบและเครื่องมือร่วมกันมาใช้ เพื่อค้นหา แก้ไข และเปิดเผยช่องโหว่ของซอฟต์แวร์โอเพนซอร์สที่สำคัญอย่างมีความรับผิดชอบ
- ผู้เข้าร่วมประกอบด้วย Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft และ GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone, Zscaler เป็นต้น
- ศูนย์กลางของการตอบสนองคือ ต้นน้ำ ที่มีผู้ดูแลโครงการอยู่
- จัดให้มีสถานที่เดียวที่เป็นความลับและตั้งอยู่บนความไว้วางใจ สำหรับประสานงานการค้นพบ การแก้ไข และการเปิดเผยช่องโหว่
- ทีม Security Incident Response Team เฉพาะทางจะเป็นคู่ประสานเพียงรายเดียวที่คาดการณ์ได้สำหรับผู้ดูแล แทนรายงานจำนวนมากที่ไม่ได้ประสานกัน
- การแก้ไขต่าง ๆ จะถูกส่งกลับไปยังที่เก็บโค้ดต้นฉบับและกระบวนการดูแลเดิมของแต่ละโครงการ
- หากแพ็กเกจสำคัญไม่มีผู้ดูแล Akrites ระบุว่าจะรับบทเป็น ผู้ดูแลทางเลือกสุดท้าย เพื่อให้การแก้ไขถูกส่งมอบได้ทันเวลา
เหตุใดการติดตั้งใช้งานจึงสำคัญกว่าการเปิดเผยแพตช์
- เมื่อแพตช์ถูกเปิดเผย ผู้โจมตีสามารถใช้ AI เพื่อย้อนวิศวกรรมช่องโหว่จริงได้อย่างรวดเร็ว พัฒนา exploit และเริ่มการโจมตี
- ดังนั้น ความสำเร็จของ Akrites ควรถูกวัดไม่ใช่จากการที่แพตช์ถูกเปิดเผยหรือไม่ แต่จากการที่มันถูก นำไปติดตั้งในระบบจริง หรือไม่
- Akrites ต้องการยกระดับการประสานงานโดยร่วมมือกับเจ้าของและผู้ปฏิบัติการโครงสร้างพื้นฐานสำคัญ ความพยายามภาคประชาสังคม และรัฐบาล
- ความลับเป็นสิ่งที่ต่อรองไม่ได้ และเนื่องจากข้อบกพร่องที่ยังไม่เปิดเผยในแพ็กเกจที่ถูกใช้อย่างแพร่หลายแทบไม่ต่างจาก อาวุธ การป้องกันการรั่วไหลจึงมาก่อน
ภาระและคำมั่นที่องค์กรผู้เข้าร่วมเน้นย้ำ
- Endor Labs ระบุว่า ในช่วงไม่กี่เดือนที่ผ่านมา จากช่องโหว่โอเพนซอร์สหลายพันรายการที่ได้รับการยืนยัน มีสัดส่วนที่ถูกแพตช์แล้ว ต่ำกว่า 5%
- OpenInfra ระบุว่าชุมชน OpenStack ออกคำแนะนำด้านความปลอดภัย 20 ฉบับในไตรมาสนี้เพียงไตรมาสเดียว และมี 2 ฉบับตลอดทั้งปี 2025
- JPMorganChase มองว่า AI ได้บีบช่วงเวลาระหว่างการค้นพบช่องโหว่กับการนำไปใช้โจมตีให้สั้นลงจนเกือบเป็นแบบเรียลไทม์ ดังนั้นเวลาตั้งแต่การแก้ไขจนถึงการติดตั้งใช้งานก็ต้องสั้นลงเช่นกัน
- Chainguard, Sonatype, RapidFort, Red Hat และรายอื่น ๆ เน้นว่าการแก้ไขช่องโหว่ควรเกิดขึ้นผ่าน การประสานงานต้นน้ำ ภายในซอฟต์แวร์ต้นฉบับและกระบวนการของผู้ดูแล แทนที่จะกระจายตัวอยู่ใน fork หรือหลังกำแพงแบบปิด
- องค์กรที่เข้าร่วมให้คำมั่นว่าจะ投入กำลังวิศวกรรม ความเชี่ยวชาญด้านความปลอดภัย เงินทุน และเทคโนโลยี AI เพื่อเสริมความแข็งแกร่งให้ซอฟต์แวร์ที่ใช้ร่วมกัน
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
หลายคนในวงการโอเพนซอร์สน่าจะอด สงสัย ไม่ได้เมื่อเห็นรายชื่อบริษัทที่เข้าร่วม และก็มีเหตุผลพอสมควร
ประเด็นสำคัญคือจะทำให้คำว่า “ค้นหา แก้ไข และเปิดเผยช่องโหว่ของซอฟต์แวร์โอเพนซอร์สสำคัญอย่างมีความรับผิดชอบ” เกิดขึ้นจริงได้อย่างไร ถ้าร่วมพัฒนาผ่านช่องทางเดิมและส่งพูลรีเควสต์ ก็ยังเดินไปพร้อมกับชุมชนได้ แต่ถ้าแตกฟอร์กโดยอ้างเรื่อง ‘ความปลอดภัย’ ก็อาจกันชุมชนออกไป แบ่งทรัพยากร และสุดท้ายทำให้หลายโปรเจ็กต์ตายในระยะยาวได้ โปรแกรมบั๊กบาวน์ตีอาจพอมีความเป็นไปได้ แต่สำหรับบั๊กร้ายแรง ความเร็วและจังหวะการเปิดเผยอาจไม่เหมาะกัน และการสนับสนุนทางการเงินก็มีข้อจำกัดถ้าไม่ผูกกับการ สนับสนุนผู้ดูแลโครงการ
PQCA ใช้ AWS เครดิตเพื่อเข้าถึงฮาร์ดแวร์สำหรับรันโปรฟและ CI และยังมีโปรแกรมพี่เลี้ยงแบบมีค่าตอบแทนด้วย OWF ก็ให้ทั้ง AWS เครดิตและโฮสต์บริการสำหรับการทดสอบ ส่วน LFDT ก็เคยสนับสนุนทั้งโปรแกรมพี่เลี้ยงแบบมีค่าตอบแทน ค่ารีวิวจาก Trail of Bits การจัดงาน งาน maintainer summit ในนิวยอร์ก และ GitHub CI runner ขนาดใหญ่ ทีมของเราตามเกณฑ์สาย Developer Relations ของ OWF/PQCA/LFDT มีพนักงานประจำแค่ 3 คน ผู้รับจ้าง 1 คน และผู้จัดการ 1 คน แต่ก็ทำงานกันหนักพอสมควรเพื่อช่วยนักพัฒนา
LFDT: https://www.lfdecentralizedtrust.org/
OWF: https://openwallet.foundation/
PQCA: https://pqca.org/
ตัวอย่างเบนช์มาร์กของ PQCA: https://pq-code-package.github.io/mldsa-native/dev/bench/
ไม่ว่าจะอยู่ในรูปแบบไหน ก็ควรกระจายอำนาจเพื่อไม่ให้มีศูนย์กลางเดียวหรือหน่วยงานเดียวที่ควบคุมได้
มีการพูดถึงการสนับสนุนทางการเงิน แต่เรื่องสำคัญคือจะสนับสนุนอย่างไร และเพื่ออะไร โปรเจ็กต์ส่วนใหญ่ยังไม่พร้อมจะรับหรือใช้เงินบริจาค อย่างไรก็ตาม ถ้าทุกโปรเจ็กต์โอเพนซอร์สสามารถเข้าถึง AI ได้มากพอสำหรับช่วยตรวจโค้ดเบสและพูลรีเควสต์ทั้งหมด เพื่อลดภาระงานดูแลรักษา ก็น่าจะดี และตอนนี้ก็เริ่มมีความพยายามแบบนั้นอยู่บ้าง
เป็นแค่ การสร้างภาพแบบองค์กร
Microsoft บอกว่าจะ “นำความเชี่ยวชาญ ทรัพยากร และเทคโนโลยี AI มาช่วยระบุและแก้ไขช่องโหว่อย่างมีความรับผิดชอบ” แต่ Microsoft ก็เป็นผู้ดูแลทั้ง NPM และ GitHub และยังเข้าถึงโมเดล AI ชั้นนำกับดาต้าเซ็นเตอร์ขนาดมหาศาลได้อยู่แล้ว ถึงอย่างนั้น ความปลอดภัยของผลิตภัณฑ์ตัวเองกลับแย่ลงอย่างรวดเร็ว และบริการต่าง ๆ ก็กลายเป็นศูนย์กลางที่เอื้อต่อการแพร่กระจายของหลายเอ็กซ์พลอยต์
ถ้าอยากดูว่า Microsoft จัดการปัญหาความปลอดภัยในโปรเจ็กต์โอเพนซอร์สของตัวเองอย่างไร ขอแนะนำเธรดนี้บน GitHub: https://github.com/dotnet/efcore/issues/38257
ตอนนี้ EF Core ยังปล่อย SQLite เวอร์ชันที่มีช่องโหว่ร้ายแรงอยู่ ปัญหานี้ถูกพบมานานกว่าหนึ่งปีแล้ว และ SQLite ก็แก้ภายในหนึ่งสัปดาห์ แต่ EF Core ไม่ได้ทำเครื่องหมายไดรเวอร์ว่าเปราะบางจนกระทั่งไม่นานมานี้ หลังจากมีผู้ใช้กลับมารายงานอีกครั้งและถกเถียงกับนักพัฒนา ปัจจุบันแพตช์สำหรับ .NET Core เวอร์ชันเสถียรคาดว่าจะเข้ามาอีกประมาณสองเดือนข้างหน้า
แต่หลังการเข้าซื้อ Microsoft ไม่ได้สานต่อแนวทางนั้นด้วย VSCode กลับสร้างบรรยากาศที่คอยกด Electron ลง และตอนนี้หลายคนก็เกลียด Electron ทั้งที่อธิบายเหตุผลไม่ได้ด้วยซ้ำ VSCode ไม่ได้ฟอร์ก Atom แต่สร้างของที่คล้ายกันขึ้นมาใหม่ตั้งแต่ต้น แถมใหญ่กว่า ช้ากว่า และตอนนี้ยังพ่วง Copilot เข้ามาอีก สุดท้ายผมเลยกลับไปใช้ Pulsar ซึ่งเป็นฟอร์กของ Atom ที่ดี
Microsoft มักมองการเข้าซื้อผ่านมุมของโอกาสและการแข่งขัน แต่แทบไม่ค่อยใช้สิ่งที่ซื้อมาได้ดีนัก วิธีของมันคือทำให้พนักงานดี ๆ และโค้ดดี ๆ หายไป แล้วทำให้ผลิตภัณฑ์เสียหาย ถึงอย่างนั้นทุกคนก็ยังใช้ผลิตภัณฑ์ของ Microsoft ต่อ ซึ่งผมไม่เข้าใจเลย ควรเลิกใช้ LinkedIn และย้ายไปใช้ระบบควบคุมเวอร์ชันอื่นกันทั้งกลุ่ม ถ้านักพัฒนาโอเพนซอร์สยังไม่แสดงออกด้วยการกระทำ ไม่ใช่แค่คำพูด Microsoft ก็จะยิ่งแย่ลงต่อไป
เราจะไม่ทำแบบนั้น เราจะไม่ออกแถลงการณ์ใหญ่โต แล้วปล่อยให้บริษัทเชิงพาณิชย์ทำทุกอย่างพัง จากนั้นก็มาบ่นเสียงดังทั้งที่เราเองไม่ได้ทำอะไรเลย
ต่อจากนี้น่าจะเกิดกระแสที่ผมขอเรียกว่า undo fork คือการฟอร์กเพื่อย้อนกลับไปคิดใหม่จากจุดก่อนที่ความบ้าคลั่งจะเริ่มขึ้น ซึ่งเป็นสิ่งที่มีแต่คนที่ไม่ถูกผูกไว้กับข้อเรียกร้องทางการค้าเท่านั้นที่ทำได้
ผมแนะนำคนที่สนใจโอเพนซอร์สให้อยู่ห่าง Linux Foundation มาตลอด ทุกวันนี้มันกลายเป็นอุปสรรคที่ขัดขวางเสรีภาพของซอฟต์แวร์ มากกว่าจะเป็นสิ่งที่ทำให้เสรีภาพนั้นเกิดขึ้นได้
ถ้าจะปกป้องโอเพนซอร์ส ต้องเริ่มจาก การสนับสนุนที่เป็นรูปธรรม ต่อโครงการและนักพัฒนา ไม่ใช่แค่คำพูด
จากมุมมองของนักพัฒนา OpenBSD การจัดหาเครื่องฮาร์ดแวร์ใหม่ให้กับนักพัฒนาเป็นเรื่องสำคัญมาก นักพัฒนาหลายคนยังทำงานอยู่บน ThinkPad อายุ 5–10 ปีที่ควรเปลี่ยนแล้ว
https://www.openbsd.org/want.html
OpenBSD Foundation ยังขาดอีกประมาณ 50% กว่าจะถึงเป้าหมายการระดมทุนปี 2026
https://www.openbsdfoundation.org/campaign2026.html
https://brynet.ca/wallofpizza.html
พอเห็นประโยคว่า “Amazon Web Services ร่วมด้วย” ความน่าเชื่อถือ ของบทความนี้ก็หายไปหมด
เรื่องนี้อ่านแล้วเหมือนเป็นความพยายามเรื่อง การรวมศูนย์และการควบคุม ไม่ว่า Akrites จะเป็นใคร สุดท้ายมันก็แค่ทำให้บริษัทยักษ์ใหญ่ด้านเทคโนโลยีรวมถึง Google มีอำนาจควบคุมโอเพนซอร์สมากขึ้น
ขอบคุณแต่ไม่เอา ผมยังจำได้ว่า Google กำลังพยายามบล็อกการติดตั้งจากภายนอกผ่าน
.apkบน Android ในเดือนกันยายนนี้ในประเด็นที่เกี่ยวกัน คนฉลาดส่วนใหญ่ที่ผมรู้จักมองว่าโอเพนซอร์ส AI จะทำให้ Anthropic และ OpenAI ไปต่อทางการเงินไม่ได้ บริษัทจำนวนมากที่มีชื่ออยู่ตรงนี้ต่างก็พัวพันกับสองบริษัทนั้นอย่างมาก และมี แรงจูงใจที่จะบ่อนทำลายโอเพนซอร์ส AI ก่อนที่ลูกค้าจะเริ่มรู้สึกถึงแรงกระแทกด้านราคา ผมรอดูมานานแล้วว่าหมากตาต่อไปของพวกเขาคืออะไร และนี่ก็อาจเป็นส่วนหนึ่งของมัน
ข้อมูลที่สำคัญที่สุดคือส่วนที่บอกว่า “ผู้เข้าร่วมจะร่วมลง ทรัพยากรด้านวิศวกรรม”
คงต้องรอดูว่าจะเป็นไปตามแผนไหม นอกเหนือจากนั้น ผมไม่ได้ประทับใจกับข้ออ้างของโครงการนี้มากนัก มันเป็นโครงสร้างที่เอื้อให้เกิดการรวมศูนย์และเครือข่ายแบบบริษัทเป็นศูนย์กลาง ซึ่งสวนทางโดยสิ้นเชิงกับแนวทางที่จริยธรรมแบบแฮ็กเกอร์สนับสนุนมาด้วยเหตุผลที่ดี
มันอาจกลายเป็นแหล่งกดดันอีกทางหนึ่งก็ได้ แม้อาจช่วยคัดกรองช่องโหว่จริงได้ดี แต่ผลลัพธ์ก็คือมันจะถูกผลักไปให้เมนเทนเนอร์ในลำดับความสำคัญสูง เมนเทนเนอร์จำนวนมากทุกวันนี้ก็เหนื่อยล้าอยู่แล้วแม้ไม่มีเสียงรบกวนจาก AI และถึงจะมีแพตช์ให้มาก็ยังต้องรีวิวอยู่ดี
ในกรณีดีที่สุด มันอาจช่วยลดเสียงรบกวนได้ แต่งานก็ยังคงอยู่ วงการนี้ควรระดมทุนโดยรวมให้โครงการโอเพนซอร์สมีอำนาจจัดการกันเอง ซึ่งน่าจะดีที่สุดต่อคุณภาพด้วย หากต้องการคัดกรองเสียงรบกวนจาก AI ก็เพิ่มฟังก์ชันนั้นเข้าไปได้ แต่ไม่ควรเป็นโครงสร้างลึกลับและไม่โปร่งใสที่คอยควบคุมทุกอย่าง
ผมรอวันที่จะได้เห็นพาดหัวอย่าง “พวกเราทุกคนต่างพึ่งพาโอเพนซอร์ส เราจะ ร่วมกันออกเงินสนับสนุน”
ชื่อ “Akrites” ฟังดูดี
สำหรับคนที่ไม่ใช่ชาวกรีกมันอาจไม่ค่อยน่าประทับใจนัก แต่สำหรับชาวกรีกมันให้ภาพที่ทรงพลังทีเดียว
akron แปลว่าขอบหรือเขตแดน ดังนั้นจึงประมาณได้ว่าเป็น “ผู้คนแห่งชายแดน” หรือ “ผู้คนแห่งพรมแดน” ประเด็นสำคัญคือเราไม่สามารถเอาความขัดแย้งหรืออคติสมัยใหม่ไปทาบลงกับประวัติศาสตร์เมื่อพันปีก่อนได้แบบตรง ๆ ในบริบททางประวัติศาสตร์ มันคล้ายกับพรมแดนจำนวนมากระหว่างอารยธรรมที่แตกต่างกัน และสิ่งสำคัญคือมันเป็นการจัดตั้งกลุ่มเพื่อปกป้องดินแดนของตนเอง
[1] https://en.wikipedia.org/wiki/Mark_Carney%27s_Davos_speech
ฉันมองว่าการโพสต์อะไรแบบนี้บน Hacker News แทบไม่มีความหมายอะไรเลย ที่นี่คนส่วนใหญ่ยอมรับกระแส AI กันลึกมากและไม่ได้ใส่ใจกันเท่าไร
แถมหลายบริษัทในรายชื่อนั้นก็เป็นผู้ต้องสงสัยหลักว่าเป็นสาเหตุสำคัญที่ทำให้โอเพนซอร์สกลายมาอยู่ในสภาพทุกวันนี้
แต่ก็เห็นด้วยว่าหลายบริษัทในรายชื่อนั้นเป็นผู้ต้องสงสัยหลักต่อสภาพของโอเพนซอร์ส เรื่องนี้ดูเหมือนโฆษณาประชาสัมพันธ์ที่พยายาม ฟอกขาว ให้บริษัทพวกนั้นมากกว่า และยากจะเชื่อว่าพวกเขาใส่ใจจริยธรรมของโอเพนซอร์สจริงๆ