Las empresas que se apresuran a implementar grandes modelos de lenguaje (LLM) y agentes de IA enfrentan una amenaza creciente: imágenes base de contenedores profundamente defectuosas que introducen vulnerabilidades de seguridad heredadas. La startup israelí Echo ha conseguido 35 millones de dólares en financiación Serie A (lo que eleva su total a 50 millones de dólares) para abordar este problema fundamental reimaginando cómo se construye la infraestructura de la nube desde cero.
Зміст
La base invisible de la nube
La Internet moderna se basa en imágenes de contenedores, esencialmente contenedores de envío para software. Estas imágenes incluyen el código de la aplicación y la “imagen base” esencial que hace que el código se ejecute. La imagen base es similar a un sistema operativo (SO) como Windows o macOS, pero a diferencia de esos sistemas, la mayoría de las imágenes base son de código abierto y mantenidas por voluntarios. Esto significa que a menudo contienen herramientas y configuraciones innecesarias (“infladas”), lo que crea importantes riesgos de seguridad.
El problema es crítico: las imágenes base descargadas pueden contener más de 1000 vulnerabilidades conocidas (CVE) desde el principio. La aplicación de parches tradicionales es una batalla perdida para los equipos de seguridad, que heredan la deuda de infraestructura incluso antes de escribir el código.
Enfoque de “SO nativo de IA empresarial” de Echo
La solución de Echo no se trata de buscar vulnerabilidades después de que existen; se trata de prevenirlos por completo. La empresa opera como una “fábrica de compilación de software”, reconstruyendo imágenes desde cero mediante un proceso de dos pasos:
- Compilación desde la fuente: Echo crea imágenes directamente desde el código fuente, incluyendo solo los componentes esenciales para minimizar la superficie de ataque.
- Endurecimiento y procedencia (SLSA Nivel 3): Las imágenes resultantes se refuerzan con configuraciones de seguridad agresivas y se verifican según los estándares SLSA Nivel 3, lo que garantiza que cada artefacto esté firmado y probado.
Esto da como resultado un reemplazo directo: los desarrolladores simplemente cambian una línea en su Dockerfile para acceder al registro seguro de Echo. La aplicación se ejecuta de manera idéntica, pero el sistema operativo subyacente es matemáticamente más limpio y está libre de CVE conocidos.
IA defendiéndose contra la IA
La necesidad de este enfoque está impulsada por la creciente carrera armamentista de seguridad “IA contra IA”. Los exploits se comprimen de semanas a días, y los agentes de codificación impulsados por IA son ahora la fuente principal de código nuevo, a menudo seleccionando bibliotecas obsoletas o vulnerables de código abierto.
Para contrarrestar esto, Echo emplea sus propios agentes de inteligencia artificial para monitorear continuamente las vulnerabilidades:
- Monitoreo continuo: Seguimiento de los más de 4000 nuevos CVE agregados mensualmente a la Base de datos nacional de vulnerabilidad (NVD).
- Investigación no estructurada: Revisar los comentarios de GitHub y los foros de desarrolladores en busca de parches antes de que se publiquen oficialmente.
- Autorreparación: Automatización de correcciones de vulnerabilidades, pruebas de compatibilidad y generación de solicitudes de extracción para revisión humana.
Esta automatización permite a Echo mantener más de 600 imágenes seguras, una escala que tradicionalmente requeriría cientos de investigadores.
Por qué esto es importante para los líderes de seguridad
Echo ofrece un cambio del “tiempo medio para la remediación” a “cero vulnerabilidades por defecto”. El CISO Dan García de EDB informó que la plataforma “ahorra al menos 235 horas de desarrollador por lanzamiento” al automatizar los controles de seguridad.
Grandes empresas como UiPath, EDB y Varonis ya utilizan Echo para proteger las cargas de trabajo de producción. A medida que más empresas avanzan hacia flujos de trabajo agentes, la capacidad de confiar en la infraestructura subyacente sin administrarla puede definir la próxima era de DevSecOps.
El mensaje central es claro: proteger la capa base de la nube ya no es opcional. Echo proporciona una solución fundamental para las empresas que necesitan implementar IA de forma segura y confiable.
