IBM 与红帽联合投资 50 亿美元,提升开源软件安全性
一句话看懂:IBM 与红帽宣布投入 50 亿美元启动“Project Lightwell”计划,借助 AI 技术建立“可信企业清算中心”,由 2 万多名工程师参与大规模识别和修复开源软件漏洞。该计划已获得多家顶级金融机构的试点支持,预计 30 天内启动商业订阅服务。
事件核心:发生了什么
IBM 与红帽联合发布的“Project Lightwell”项目,核心目标是建立一个名为“Trusted Enterprise Clearinghouse”(可信企业清算中心)的平台。该平台将作为安全协调层,利用 AI 能力验证和测试安全补丁。IBM 透露,公司目前使用超过 6.2 万个开源软件包,其中 1 万多个拥有深厚专业知识。值得关注的是,Anthropic 的 Claude Mythos 模型在一次检测中发现了 23,019 个漏洞,显示了当前开源软件安全形势的紧迫性。IBM 软件高级副总裁 Rob Thomas 表示,该计划将在 30 天内正式商用,订阅费用根据企业使用的软件包数量决定。参与试点的企业包括美国银行、花旗、高盛、摩根大通、万事达卡、摩根士丹利、加拿大皇家银行、Visa 和富国银行等大型金融机构。
为什么重要
开源软件是现代数字经济与 AI 训练的底层基础设施,但其供应链安全长期缺乏系统性投入。IBM 与红帽的 50 亿美元投资,意味着开源安全从“社区自发修补”转向“企业级商业化运营”。这种模式让参与者可以在安全框架内共享敏感漏洞信息,并获得适配生产环境的优化补丁,最终将修复内容上传至开源社区,形成正向循环。对于整个 AI 行业而言,这一模式直接降低了企业因开源组件漏洞导致的安全风险,尤其是金融等高度监管行业。相比以往依赖安全审计或临时补丁的做法,Project Lightwell 试图从供应链源头系统性解决安全问题。
对用户/开发者/创作者的影响
对于企业 IT 采购和技术决策者,该计划提供了一种可量化的安全订阅服务,可能改变开源软件在企业中的使用风险模型——过去“免费但自担风险”的模式,开始向“付费获取可信保障”演化。对于开源开发者,虽然补丁最终会回馈上游社区,但商业订阅体系可能造成安全修补的时效性差异,付费用户会先于社区获得修复。对于普通终端用户,这种企业级安全补丁的普及最终会减少因开源漏洞引发的数据泄露和服务中断事件,但短期内个人用户无法直接访问该平台。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
一是商业化落地的具体定价策略——如果价格过高,可能只有大型企业能承担,中小型组织仍会暴露在安全风险中。二是该模式能否获得广泛的开源社区认可,尤其是补丁在回馈上游时是否保持质量和独立性。三是竞品动作——亚马逊 AWS、微软 Azure 等云巨头是否会在开源安全领域推出类似商业化服务。四是 Anthropic 等 AI 模型在漏洞检测领域的角色是否会被进一步整合进此类平台,从而改变安全行业的工具链格局。
来源:AIbase
