IBM與Red Hat啟動Project Lightwell計畫,這是一項50億美元的企業安全倡議,部署超過2萬名AI輔助工程師,透過一個受信賴的結算所來驗證與修復開源漏洞。[1][3] 這種「企業至上而下」的模式,與Linux基金會的「社群由下而上」做法形成強烈對比,後者近期從Anthropic、AWS、GitHub、Google DeepMind、微軟和OpenAI獲得了1250萬美元的補助金。[2][22] 核心的戰略分歧在於:IBM正在建立一個由摩根大通、美國銀行等大型銀行試點的商業訂閱服務,而基金會的補助則明確瞄準了開源維護者的生態系統,以解決資源不足的根本問題。[6][18][21]

Create a landscape editorial hero image for this Studio Global article: What is Project Lightwell, IBM and Red Hat's $5 billion open-source security initiative that deploys over 20,000 engineers and AI-driven too. Article summary: Both announcements are confirmed [1][2]. Here is the full picture.. Topic tags: general, news, general web. Reference image context from search candidates: Reference image 1: visual subject "("Futu" or "the Company")(Nasdaq: FUTU), a leading global tech-driven online brokerage and wealth management platform, announced its unaudited Q1 2026 earnings with US$746.9 millio" source context "Moomoo's Parent Company Futu Releases Q1 2026 Results: Revenues up 25% YoY to US$746.9 million" Reference image 2: visual subject "Pudu Robotics Founder & CEO Felix Zhang at BEYOND Expo 2026: Globalizing Physical Al: Building a Multi-Billion Dollar Robotics Powerhouse from Sh
開源軟體已是現代企業的根基,幾乎所有的大型系統都建構其上,但如何確保這條龐大又複雜的軟體供應鏈安全,始終是一大難題。2026年,兩個重量級計畫相繼問世,試圖從截然不同的角度解決這個問題。IBM與Red Hat豪擲50億美元,推出AI驅動的「信任結算所」Project Lightwell;同一時間,由多家科技巨頭組成的聯盟則向Linux基金會注資1250萬美元,試圖從源頭鞏固安全。兩者目標一致,但策略的差異,恰恰反映了業界對於如何資助、擴展及信賴開源安全修復機制的深層路線分歧。
Project Lightwell於2026年5月28日正式宣布,它的核心目標是在開源程式碼與仰賴它營運的企業之間,創造一個全新的安全協調層。IBM與Red Hat承諾投入超過2萬名工程師,並輔以前瞻的AI技術,來扮演「受信賴的企業結算所」的角色
。
它的運作流程設計得相當直接且貼近企業需求:當一家公司在內部使用的開源軟體套件中發現了敏感漏洞,便可以透過保密管道將問題回報給這個結算所。接著,IBM和Red Hat會接手,利用AI來辨識、測試並驗證修復方案,最終的產出是一個經過驗證、可立即用於正式環境的修補程式(patch)。這項服務的商業模式是透過訂閱制來提供,訂價很可能根據客戶使用的軟體套件數量來計算,目標是為這些軟體套件掛上「安全認證」,確保它們的開源相依套件是安全的
。
這個計畫並非閉門造車。試點計畫的參與者堪稱金融服務業的明星陣容,包括:美國銀行(Bank of America)、紐約梅隆銀行(BNY)、花旗(Citi)、高盛(Goldman Sachs)、摩根大通(JPMorganChase)、萬事達卡(Mastercard)、摩根士丹利(Morgan Stanley)、加拿大皇家銀行(Royal Bank of Canada)、道富銀行(State Street)、Visa和富國銀行(Wells Fargo)。這些監管嚴格、極度規避風險的機構率先買單,顯示Project Lightwell是直接回應企業對於開源軟體在正式環境中,需要經過驗證的安全保證的強烈需求
。
另一個更早登場的計畫,則代表了開源安全議題的另一面。2026年3月,Linux基金會宣布獲得來自Anthropic、AWS、GitHub、Google、Google DeepMind、微軟和OpenAI總計1250萬美元的補助金。這筆錢由旗下的Alpha-Omega專案與開源安全基金會(OpenSSF)管理,資金用途明確地指向了開源軟體的維護者本身
。
這項投資被明確定位為對「AI驅動的漏洞回報激增」現象的回應。隨著自動化系統和AI工具產生愈來愈多的安全調查結果,資源不足的維護者(通常是小型團隊或個人開發者)已不堪重負,難以消化大量的漏洞分類與評估工作。這些補助金旨在資助可長期持續的安全解決方案,幫助維護者應對這波海量資訊,而不是在他們周圍另外建立一條繞開他們的商業管道
。
兩者之間的對比清晰而刻意。Project Lightwell採取的是「企業至上而下」的模式:一個商業中介機構,為大型客戶提供經過AI驗證的安全支援。Linux基金會的補助則是「社群由下而上」的模式:直接的財務支援,用來強化整個生態系統所仰賴的維護者和專案
。
這兩種方法沒有絕對的優劣之分;真正的問題在於兩個模式究竟會互補還是競爭。這個商業結算所或許有機會緩解維護者的壓力,因為它能把企業的漏洞回報引導到IBM的驗證管道中。但反過來說,它也可能創造出一種雙層體系:付費客戶能快速獲得可信任的修復,而更廣泛的社群卻只能等待資源少得多的維護者,去處理相同的問題。
Project Lightwell預計在短期內正式商業化,採訂閱制定價。Linux基金會的補助金則已透入Alpha-Omega和OpenSSF的相關計畫中開始發放
。對於在正式環境中擁有大量開源足跡的企業而言,結算所模式提供了立即的營運援助;而對於生態系的長期健康,補助金則直搗問題核心:資金不足的維護者以及脆弱的關鍵基礎設施。兩項計畫都篤信AI加速了漏洞的發現,以至於對任何一方來說,建立一個全新的安全模型,都不再是選項,而是必然。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
IBM與Red Hat啟動Project Lightwell計畫,這是一項50億美元的企業安全倡議,部署超過2萬名AI輔助工程師,透過一個受信賴的結算所來驗證與修復開源漏洞。[1][3]
IBM與Red Hat啟動Project Lightwell計畫,這是一項50億美元的企業安全倡議,部署超過2萬名AI輔助工程師,透過一個受信賴的結算所來驗證與修復開源漏洞。[1][3] 這種「企業至上而下」的模式,與Linux基金會的「社群由下而上」做法形成強烈對比,後者近期從Anthropic、AWS、GitHub、Google DeepMind、微軟和OpenAI獲得了1250萬美元的補助金。[2][22]
核心的戰略分歧在於:IBM正在建立一個由摩根大通、美國銀行等大型銀行試點的商業訂閱服務,而基金會的補助則明確瞄準了開源維護者的生態系統,以解決資源不足的根本問題。[6][18][21]