Bedrijven die zich haasten om grote taalmodellen (LLM’s) en AI-agents in te zetten, worden geconfronteerd met een groeiende dreiging: zeer gebrekkige containerbasisimages die overgeërfde beveiligingskwetsbaarheden introduceren. De Israëlische startup Echo heeft 35 miljoen dollar aan Series A-financiering veiliggesteld – wat het totaal op 50 miljoen dollar brengt – om dit fundamentele probleem aan te pakken door opnieuw te bedenken hoe de cloudinfrastructuur van de grond af aan wordt opgebouwd.
Зміст
De onzichtbare basis van de cloud
Het moderne internet is afhankelijk van containerafbeeldingen – in wezen verzendcontainers voor software. Deze afbeeldingen bevatten de applicatiecode en de essentiële ‘basisimage’ die ervoor zorgt dat de code wordt uitgevoerd. De basisimage lijkt op een besturingssysteem (OS) zoals Windows of macOS, maar in tegenstelling tot die systemen zijn de meeste basisimages open-source en worden ze onderhouden door vrijwilligers. Dit betekent dat ze vaak onnodige tools en instellingen bevatten (“bloat”), wat aanzienlijke veiligheidsrisico’s met zich meebrengt.
Het probleem is van cruciaal belang: gedownloade basisimages kunnen vanaf het begin meer dan 1.000 bekende kwetsbaarheden (CVE’s) bevatten. Traditionele patching is een verloren strijd voor beveiligingsteams, die infrastructuurschulden erven voordat ze zelfs maar code schrijven.
Echo’s “Enterprise AI Native OS”-aanpak
De oplossing van Echo gaat niet over het scannen op kwetsbaarheden nadat ze bestaan; het gaat erom ze volledig te voorkomen. Het bedrijf opereert als een “softwarecompilatiefabriek”, waarbij afbeeldingen helemaal opnieuw worden opgebouwd met behulp van een proces in twee stappen:
- Compilatie vanaf bron: Echo bouwt afbeeldingen rechtstreeks vanuit de broncode, inclusief alleen essentiële componenten om het aanvalsoppervlak te minimaliseren.
- Hardening & Provenance (SLSA Level 3): De resulterende afbeeldingen worden gehard met agressieve beveiligingsconfiguraties en geverifieerd volgens SLSA Level 3-normen, zodat elk artefact wordt ondertekend en getest.
Dit resulteert in een drop-in-vervanging: ontwikkelaars wijzigen eenvoudigweg één regel in hun Dockerfile om toegang te krijgen tot het beveiligde register van Echo. De applicatie werkt identiek, maar het onderliggende besturingssysteem is wiskundig schoner en vrij van bekende CVE’s.
AI verdedigt tegen AI
De noodzaak voor deze aanpak wordt ingegeven door de escalerende ‘AI versus AI’-wapenwedloop op het gebied van veiligheid. Exploits worden van weken tot dagen gecomprimeerd, en door AI aangedreven codeermiddelen zijn nu de belangrijkste bron van nieuwe code, waarbij vaak verouderde of kwetsbare bibliotheken uit open source worden geselecteerd.
Om dit tegen te gaan, gebruikt Echo zijn eigen AI-agenten om voortdurend kwetsbaarheden te monitoren:
- Continue monitoring: Het volgen van de meer dan 4.000 nieuwe CVE’s die maandelijks aan de Nationale Vulnerability Database (NVD) worden toegevoegd.
- Ongestructureerd onderzoek: GitHub-commentaren en ontwikkelaarsforums doorzoeken op patches voordat ze officieel worden gepubliceerd.
- Zelfherstel: Automatisering van oplossingen voor kwetsbaarheden, compatibiliteitstests en het genereren van pull-aanvragen voor menselijke beoordeling.
Dankzij deze automatisering kan Echo meer dan 600 beveiligde afbeeldingen onderhouden – een schaal waarvoor traditioneel honderden onderzoekers nodig zouden zijn.
Waarom dit belangrijk is voor veiligheidsleiders
Echo biedt een verschuiving van ‘gemiddelde tijd tot herstel’ naar ‘standaard nul kwetsbaarheden’. CISO Dan Garcia van EDB meldde dat het platform “minstens 235 ontwikkelaarsuren per release bespaart” door veiligheidscontroles te automatiseren.
Grote ondernemingen als UiPath, EDB en Varonis gebruiken Echo al om de productieworkloads te beveiligen. Naarmate meer bedrijven overstappen op agentische workflows, kan de mogelijkheid om de onderliggende infrastructuur te vertrouwen zonder deze te beheren het volgende tijdperk van DevSecOps bepalen.
De kernboodschap is duidelijk: het beveiligen van de basislaag van de cloud is niet langer optioneel. Echo biedt een fundamentele oplossing voor bedrijven die AI veilig en betrouwbaar moeten inzetten.
