Les entreprises qui se précipitent pour déployer des modèles de langage étendus (LLM) et des agents d’IA sont confrontées à une menace croissante : des images de base de conteneurs profondément défectueuses qui introduisent des vulnérabilités de sécurité héritées. La startup israélienne Echo a obtenu un financement de série A de 35 millions de dollars – portant son total à 50 millions de dollars – pour résoudre ce problème fondamental en réimaginant la façon dont l’infrastructure cloud est construite de A à Z.
Зміст
La fondation invisible du cloud
L’Internet moderne s’appuie sur des images de conteneurs – essentiellement des conteneurs d’expédition pour les logiciels. Ces images incluent le code de l’application et « l’image de base » essentielle qui fait fonctionner le code. L’image de base s’apparente à un système d’exploitation (OS) comme Windows ou macOS, mais contrairement à ces systèmes, la plupart des images de base sont open source et gérées par des bénévoles. Cela signifie qu’ils contiennent souvent des outils et des paramètres inutiles (« ballonnement »), créant des risques de sécurité importants.
Le problème est critique : les images de base téléchargées peuvent contenir dès le départ plus de 1 000 vulnérabilités connues (CVE). Les correctifs traditionnels sont une bataille perdue d’avance pour les équipes de sécurité, qui héritent de la dette de l’infrastructure avant même d’écrire du code.
L’approche « Enterprise AI Native OS » d’Echo
La solution d’Echo ne consiste pas à rechercher les vulnérabilités après leur existence ; il s’agit de les empêcher complètement. L’entreprise fonctionne comme une « usine de compilation de logiciels », reconstruisant les images à partir de zéro en suivant un processus en deux étapes :
- Compilation à partir de la source : Echo crée des images directement à partir du code source, en incluant uniquement les composants essentiels pour minimiser la surface d’attaque.
- Durcissement et provenance (SLSA niveau 3) : Les images résultantes sont renforcées avec des configurations de sécurité agressives et vérifiées selon les normes SLSA niveau 3, garantissant que chaque artefact est signé et testé.
Cela entraîne un remplacement immédiat : les développeurs modifient simplement une ligne de leur Dockerfile pour accéder au registre sécurisé d’Echo. L’application fonctionne de manière identique, mais le système d’exploitation sous-jacent est mathématiquement plus propre et exempt de CVE connus.
L’IA se défend contre l’IA
La nécessité de cette approche est motivée par la course aux armements de sécurité croissante « IA contre IA ». Les exploits sont compressés de quelques semaines à quelques jours, et les agents de codage basés sur l’IA sont désormais la principale source de nouveau code, sélectionnant souvent des bibliothèques obsolètes ou vulnérables dans l’open source.
Pour contrer cela, Echo utilise ses propres agents d’IA pour surveiller en permanence les vulnérabilités :
- Surveillance continue : Suivi des plus de 4 000 nouveaux CVE ajoutés chaque mois à la base de données nationale sur les vulnérabilités (NVD).
- Recherche non structurée : Parcourir les commentaires GitHub et les forums de développeurs à la recherche de correctifs avant leur publication officielle.
- Auto-réparation : Automatisation des corrections de vulnérabilités, des tests de compatibilité et de la génération de demandes d’extraction pour examen humain.
Cette automatisation permet à Echo de conserver plus de 600 images sécurisées, une échelle qui nécessiterait traditionnellement des centaines de chercheurs.
Pourquoi c’est important pour les responsables de la sécurité
Echo propose de passer du « délai moyen de remédiation » à « zéro vulnérabilité par défaut ». Le RSSI Dan Garcia d’EDB a indiqué que la plate-forme « permet d’économiser au moins 235 heures de développement par version » en automatisant les contrôles de sécurité.
De grandes entreprises comme UiPath, EDB et Varonis utilisent déjà Echo pour sécuriser les charges de travail de production. À mesure que de plus en plus d’entreprises s’orientent vers des workflows agents, la capacité de faire confiance à l’infrastructure sous-jacente sans la gérer pourrait définir la prochaine ère du DevSecOps.
Le message principal est clair : la sécurisation de la couche de base du cloud n’est plus facultative. Echo fournit une solution fondamentale pour les entreprises qui ont besoin de déployer l’IA de manière sûre et fiable.
