目標: ChainguardのCEO兼共同創業者であるDan Lorenc氏は、「オープンソースのバグを見つけて修正するプロセスを、可能な限り簡単に利用できるようにする」ことが目標だと述べている。これは、攻撃者もまたAIを活用して脆弱性を探しているという現状を踏まえたものだ。
2026年6月25日に発表されたAkritesは、Linux Foundationが主導する取り組みで、AWS、Google、Microsoft、OpenAI、NVIDIA、IBM、Red Hat、Cisco、JPMorganChase、Anthropic、Chainguardなど20の企業・組織が発足メンバーとして名を連ねる。
共有SIRT: Akritesは、重要なオープンソースプロジェクトにおける脆弱性の発見、修正、開示を一元的に扱う、共有のセキュリティインシデント対応チーム(SIRT)を設立する。従来のように、多数の組織が個別に重複した脆弱性報告をメンテナーに送りつけ、彼らを圧迫する事態を避け、すべての報告をSIRTに一元化。重複の排除、検証、そして協調的なパッチ開発を行う
。
標準化されたCVDプロセス: 統一された協調的脆弱性開示(CVD、Coordinated Vulnerability Disclosure)のパイプラインを提供し、パッチが混沌とした形ではなく、管理された責任ある方法で開発・リリースされるようにする。
AIスピードへの対応: Akritesが設立された直接的な理由は、最先端のAIモデルが数分でソフトウェアの脆弱性を発見できるようになったため、対応するインフラも同じ速度で動作する必要があるからだ。また、このイニシアチブは、放棄されてはいるが広く使われているパッケージに対する「最後の手段としてのメンテナー(maintainer of last resort)」の役割も担う
。
Project Lightwellは2026年5月下旬、IBMとRed Hatによる50億ドル、2万人のエンジニアを動員する共同イニシアチブとして発表された。6月24日にはPalo Alto Networksが、6月26日にはDeloitteが協力を発表している
。
エンタープライズ向け一元的な情報管理機関モデル: Lightwellは、企業のソフトウェアサプライチェーンにおけるオープンソースソフトウェアのための、AI駆動型のセキュリティ情報管理機関(clearinghouse)として機能する。脆弱性を特定し、検証済みのパッチを大規模に展開する。
Deloitteの役割: Deloitteは、規制の厳しいソフトウェアサプライチェーン(金融、医療、重要インフラなど)において、手動によるパッチ適用が遅れがちな分野への自動化パッチ適用を拡大するために協力する。
Palo Alto Networksとの統合: この連携拡大により、Palo Alto Networksの「Virtual Patching(仮想パッチ適用)」機能とLightwellが統合され、ネットワークレベルの迅速な保護と、オープンソースソフトウェア、商用アプリケーション、運用技術(OT)にわたるソフトウェア修正を組み合わせる。
AthenaとAkritesは補完関係にある。 ChainguardはAthenaとAkritesの両方の発足メンバーである。AthenaがAIによるパッチ生成の実行パイプラインに焦点を当てる一方、Akritesは中立的で業界横断的なガバナンスと開示の枠組みを提供する。あるセキュリティメディアの分析によれば、「Linux Foundationの新たな発表はAthenaに言及していないが、Akritesは同じ道を歩んでいる」——つまり、OSSの脆弱性を報告、検証、対処するためのツールとチャネルを提供しているという
。
Lightwellは商用で、エンタープライズ向けに特化している。 連合モデルとは異なり、Project Lightwellは大手企業向けにAIによる脆弱性管理を販売する商用サブスクリプションサービスである。
共通の認識: これら3つの取り組みに共通するのは、AIが脆弱性の発見から悪用までの時間的猶予を劇的に縮めたという認識だ。最先端のAIモデルは、主要なソフトウェアプロジェクトをスキャンし、わずか1ドルのコストで数分以内に脆弱性を表面化させることができる。そのため、脆弱性の発見・修正・開示のサイクル全体を、数週間から数時間、あるいは数分にまで圧縮する必要がある
。
規制産業にとってのDeloitteのLightwellへの参加の重要性: この協力は、手動によるパッチ適用プロセスが遅く、コンプライアンス負荷が高い金融、医療、重要インフラなどの分野に自動パッチ適用をもたらすことを目指しており、これにより重大なギャップを埋める可能性がある。