Google、微软、OpenAI与Anthropic等AI模型及平台大厂昨日与Linux基金会共同宣布，投入开源软件安全项目Alpha-Omega，以防范AI驱动的安全威胁。

随着AI技术的广泛应用，开源软件漏洞被发现的速度越来越快，范围也日益扩大。此外，黑客也开始利用AI寻找漏洞甚至编写攻击程序，使AI成为攻防两端的军备竞赛。这对开源项目维护团队带来了更大挑战——他们面临海量的安全漏洞报告，其中许多由自动化系统生成，但这些机构普遍缺乏人力、资金和工具来分类和修复。

Alpha-Omega项目最初由Amazon、Citi、Google和微软于2022年联合发起，旨在保障关键开源软件的安全，年度预算超过700万美元，为开源社区提供工具、自动化技术、培训及其他资源，涵盖Apache软件基金会、Rust基金会、Python和Eclipse软件基金会等。

此次最新宣布，主要云平台及AI开发领军企业包括Google/DeepMind、AWS、微软/GitHub、OpenAI与Anthropic等，将共同出资1250万美元，作为联合基金，由Alpha-Omega项目与开源软件安全基金会（OpenSSF）共同管理，项目将托管于Linux基金会。

通过该项目，Alpha-Omega与OpenSSF可直接与项目维护者及其社区协作，快速修复漏洞，并提供安全工具或将其整合进现有项目工作流程中，全面提升开源软件的安全性。

该计划有望缓解部分开源项目因安全维护压力过大而陷入困境的局面。例如，Curl项目维护团队今年早些时候因AI生成的大量虚假漏洞报告泛滥，被迫暂停漏洞赏金计划。此外，Alpha-Omega也可能整合各大厂已有的安全分析工具，如Google DeepMind内部使用的Big Sleep和CodeMender，以及整合了Google威胁情报、OSV漏洞数据库和Mandiant威胁情报的Sec-Gemini v1模型。Google已将该模型免费开放给研究社区使用。