Le aziende che si affrettano a implementare modelli linguistici di grandi dimensioni (LLM) e agenti di intelligenza artificiale si trovano ad affrontare una minaccia crescente: immagini di base di contenitori profondamente imperfette che introducono vulnerabilità di sicurezza ereditate. La startup israeliana Echo si è assicurata 35 milioni di dollari in finanziamenti di serie A – portando il totale a 50 milioni di dollari – per affrontare questo problema fondamentale reinventando il modo in cui l’infrastruttura cloud viene costruita da zero.
Зміст
Le fondamenta invisibili del cloud
L’Internet moderna si basa sulle immagini dei container, essenzialmente container per la spedizione di software. Queste immagini includono il codice dell’applicazione e l’essenziale “immagine di base” che consente l’esecuzione del codice. L’immagine di base è simile a un sistema operativo (OS) come Windows o macOS, ma a differenza di questi sistemi, la maggior parte delle immagini di base sono open source e gestite da volontari. Ciò significa che spesso contengono strumenti e impostazioni non necessari (“bloat”), creando notevoli rischi per la sicurezza.
Il problema è critico: le immagini di base scaricate possono contenere oltre 1.000 vulnerabilità note (CVE) fin dall’inizio. L’applicazione delle patch tradizionali è una battaglia persa per i team di sicurezza, che ereditano il debito infrastrutturale prima ancora di scrivere il codice.
Approccio “sistema operativo nativo AI aziendale” di Echo
La soluzione di Echo non riguarda la scansione delle vulnerabilità dopo che esistono; si tratta di prevenirli del tutto. L’azienda opera come una “fabbrica di compilazione software”, ricostruendo le immagini da zero utilizzando un processo in due fasi:
- Compilazione dalla sorgente: Echo crea immagini direttamente dal codice sorgente, includendo solo i componenti essenziali per ridurre al minimo la superficie di attacco.
- ** Rafforzamento e provenienza (Livello 3 SLSA):** Le immagini risultanti vengono rafforzate con configurazioni di sicurezza aggressive e verificate secondo gli standard SLSA Livello 3, garantendo che ogni artefatto sia firmato e testato.
Ciò si traduce in una sostituzione immediata: gli sviluppatori modificano semplicemente una riga nel loro Dockerfile per accedere al registro sicuro di Echo. L’applicazione funziona in modo identico, ma il sistema operativo sottostante è matematicamente più pulito e privo di CVE noti.
L’IA si difende dall’IA
La necessità di questo approccio è guidata dalla crescente corsa agli armamenti di sicurezza “AI contro AI”. Gli exploit vengono compressi da settimane a giorni e gli agenti di codifica basati sull’intelligenza artificiale sono ora la fonte principale di nuovo codice, spesso selezionando librerie obsolete o vulnerabili dall’open source.
Per contrastare questo, Echo impiega i propri agenti AI per monitorare continuamente le vulnerabilità:
- Monitoraggio continuo: monitoraggio degli oltre 4.000 nuovi CVE aggiunti mensilmente al National Vulnerability Database (NVD).
- Ricerca non strutturata: analisi dei commenti di GitHub e dei forum degli sviluppatori alla ricerca di patch prima che vengano pubblicate ufficialmente.
- Autoriparazione: automatizzazione delle correzioni delle vulnerabilità, test di compatibilità e generazione di richieste pull per la revisione umana.
Questa automazione consente a Echo di mantenere oltre 600 immagini sicure, una scala che tradizionalmente richiederebbe centinaia di ricercatori.
Perché questo è importante per i leader della sicurezza
Echo offre il passaggio da “tempo medio per la riparazione” a “zero vulnerabilità per impostazione predefinita”. Il CISO Dan Garcia di EDB ha riferito che la piattaforma “fa risparmiare almeno 235 ore di sviluppo per ogni rilascio” automatizzando i controlli di sicurezza.
Grandi aziende come UiPath, EDB e Varonis utilizzano già Echo per proteggere i carichi di lavoro di produzione. Man mano che sempre più aziende si spostano verso flussi di lavoro basati su agenti, la capacità di fidarsi dell’infrastruttura sottostante senza gestirla potrebbe definire la prossima era di DevSecOps.
Il messaggio principale è chiaro: proteggere il livello di base del cloud non è più un optional. Echo fornisce una soluzione fondamentale per le aziende che necessitano di implementare l’intelligenza artificiale in modo sicuro e affidabile.
