Firmy spieszące się z wdrażaniem dużych modeli językowych (LLM) i agentów AI stają w obliczu rosnącego zagrożenia: poważnie uszkodzone obrazy bazowe kontenerów, które wprowadzają starsze luki w zabezpieczeniach. Izraelski start-up Echo zebrał 35 milionów dolarów w ramach finansowania serii A, zwiększając łączną kwotę do 50 milionów dolarów, aby rozwiązać ten fundamentalny problem poprzez ponowne przemyślenie sposobu budowania infrastruktury chmurowej od podstaw.
Зміст
Fundacja Niewidzialna Chmura
Współczesny Internet opiera się na obrazach kontenerów — zasadniczo dostarczających kontenery z oprogramowaniem. Obrazy te zawierają kod aplikacji i niezbędny „obraz bazowy”, dzięki któremu aplikacja działa. Obraz podstawowy jest podobny do systemu operacyjnego (OS), takiego jak Windows lub macOS, ale w przeciwieństwie do tych systemów większość obrazów podstawowych to obrazy typu open source i obsługiwane przez wolontariuszy. Oznacza to, że często zawierają niepotrzebne narzędzia i ustawienia („nadęcia”), stwarzając poważne zagrożenia bezpieczeństwa.
Problem jest krytyczny: pobrane obrazy podstawowe mogą od początku zawierać ponad 1000 znanych luk w zabezpieczeniach (CVE). Tradycyjne łatanie luk w zabezpieczeniach to przegrana bitwa dla zespołów ds. bezpieczeństwa, które odziedziczą dług infrastrukturalny przed napisaniem jakiegokolwiek kodu.
Podejście Echo: „Enterprise OS dla AI”
Rozwiązanie Echo nie polega na skanowaniu luk w zabezpieczeniach po ich wystąpieniu, ale na całkowitym zapobieganiu im. Firma działa na zasadzie „fabryki kompilacji oprogramowania”, odbudowując obrazy od podstaw w dwuetapowym procesie:
- Kompiluj ze źródła: Echo tworzy obrazy bezpośrednio ze źródła, włączając tylko niezbędne komponenty, aby zminimalizować powierzchnię ataku.
- Wzmocnienie bezpieczeństwa i uwierzytelniania (SLSA poziom 3): Powstałe obrazy są ulepszane przy użyciu agresywnych ustawień zabezpieczeń i weryfikowane pod kątem standardów SLSA poziomu 3, co gwarantuje, że każdy artefakt jest podpisany i przetestowany.
Zapewnia to natychmiastową wymianę: programiści muszą tylko zmienić jedną linię w pliku Dockerfile, aby uzyskać dostęp do bezpiecznego rejestru Echo. Aplikacja działa identycznie, ale bazowy system operacyjny jest matematycznie czystszy i wolny od znanych CVE.
AI Chroni przed AI
Potrzeba takiego podejścia wynika z nasilającego się wyścigu zbrojeń w zakresie bezpieczeństwa „sztuczna inteligencja kontra sztuczna inteligencja”. Exploity są kompresowane z tygodni do dni, a agenci AI generujący kod stają się głównym źródłem nowego kodu, często wybierając przestarzałe lub podatne na ataki biblioteki open source.
Aby temu przeciwdziałać, Echo wykorzystuje własnych agentów AI do ciągłego monitorowania luk w zabezpieczeniach:
- Ciągłe monitorowanie: co miesiąc śledzi ponad 4000 nowych CVE dodawanych do krajowej bazy danych o lukach w zabezpieczeniach (NVD).
- Badania niestrukturalne: Przejrzyj komentarze GitHub i fora programistów pod kątem poprawek, zanim zostaną one oficjalnie opublikowane.
- Samonaprawa: Automatyzuj poprawki luk w zabezpieczeniach, zapewniaj zgodność i generuj żądania ściągnięcia w celu sprawdzenia przez człowieka.
Dzięki tej automatyzacji Echo może obsługiwać ponad 600 bezpiecznych obrazów – na skalę, która tradycyjnie wymagałaby zaangażowania setek badaczy.
Dlaczego ma to znaczenie dla liderów ds. bezpieczeństwa
Echo proponuje przejście od „średniego czasu do załatania” do „domyślnego zera luk w zabezpieczeniach”. CISO Dan Garcia z EDB powiedział, że platforma „oszczędza co najmniej 235 roboczogodzin programistów na wydanie” poprzez automatyzację kontroli bezpieczeństwa.
Duże przedsiębiorstwa, takie jak UiPath, EDB i Varonis, już używają Echo do zabezpieczania obciążeń produkcyjnych. W miarę jak coraz więcej firm przechodzi na przepływy pracy oparte na agentach, możliwość zaufania podstawowej infrastrukturze bez zarządzania nią może zdefiniować następną erę DevSecOps.
Przesłanie jest jasne: zabezpieczenie bazy w chmurze nie wchodzi już w grę. Echo zapewnia podstawowe rozwiązanie dla przedsiębiorstw, które muszą bezpiecznie wdrożyć sztuczną inteligencję.
