As empresas que correm para implantar grandes modelos de linguagem (LLMs) e agentes de IA enfrentam uma ameaça crescente: imagens de base de contêiner profundamente falhas que introduzem vulnerabilidades de segurança herdadas. A startup israelense Echo garantiu US$ 35 milhões em financiamento da Série A – elevando seu total para US$ 50 milhões – para resolver esse problema fundamental, reimaginando como a infraestrutura em nuvem é construída do zero.
Зміст
A Fundação Invisível da Nuvem
A Internet moderna depende de imagens de contêineres – essencialmente contêineres de software. Essas imagens incluem o código do aplicativo e a “imagem base” essencial que faz o código ser executado. A imagem base é semelhante a um sistema operacional (SO) como Windows ou macOS, mas, diferentemente desses sistemas, a maioria das imagens base é de código aberto e mantida por voluntários. Isso significa que eles geralmente contêm ferramentas e configurações desnecessárias (“inchaço”), criando riscos de segurança significativos.
O problema é crítico: as imagens base baixadas podem conter mais de 1.000 vulnerabilidades conhecidas (CVEs) desde o início. Os patches tradicionais são uma batalha perdida para as equipes de segurança, que herdam dívidas de infraestrutura antes mesmo de escrever o código.
Abordagem “Enterprise AI Native OS” da Echo
A solução da Echo não consiste em procurar vulnerabilidades depois de elas existirem; trata-se de evitá-los totalmente. A empresa opera como uma “fábrica de compilação de software”, reconstruindo imagens do zero usando um processo de duas etapas:
- Compilação da fonte: O Echo cria imagens diretamente do código-fonte, incluindo apenas componentes essenciais para minimizar a superfície de ataque.
- Proteção e Proveniência (SLSA Nível 3): As imagens resultantes são reforçadas com configurações de segurança agressivas e verificadas de acordo com os padrões SLSA Nível 3, garantindo que cada artefato seja assinado e testado.
Isso resulta em uma substituição imediata: os desenvolvedores simplesmente alteram uma linha em seu Dockerfile para acessar o registro seguro do Echo. O aplicativo é executado de forma idêntica, mas o sistema operacional subjacente é matematicamente mais limpo e livre de CVEs conhecidos.
IA defendendo-se contra IA
A necessidade desta abordagem é impulsionada pela crescente corrida armamentista de segurança “IA versus IA”. As explorações são compactadas de semanas a dias, e os agentes de codificação alimentados por IA são agora a principal fonte de novo código, muitas vezes selecionando bibliotecas desatualizadas ou vulneráveis de código aberto.
Para combater isso, a Echo emprega seus próprios agentes de IA para monitorar continuamente as vulnerabilidades:
- Monitoramento contínuo: Acompanhamento mensal de mais de 4.000 novos CVEs adicionados ao Banco de Dados Nacional de Vulnerabilidade (NVD).
- Pesquisa não estruturada: vasculhando comentários do GitHub e fóruns de desenvolvedores em busca de patches antes de serem publicados oficialmente.
- Autocorreção: Automatização de correções de vulnerabilidades, testes de compatibilidade e geração de pull request para revisão humana.
Essa automação permite que a Echo mantenha mais de 600 imagens seguras – uma escala que tradicionalmente exigiria centenas de pesquisadores.
Por que isso é importante para os líderes de segurança
A Echo oferece uma mudança de “tempo médio para correção” para “zero vulnerabilidades por padrão”. O CISO Dan Garcia da EDB relatou que a plataforma “economiza pelo menos 235 horas de desenvolvedor por lançamento” ao automatizar as verificações de segurança.
Grandes empresas como UiPath, EDB e Varonis já usam o Echo para proteger cargas de trabalho de produção. À medida que mais empresas adotam fluxos de trabalho de agentes, a capacidade de confiar na infraestrutura subjacente sem gerenciá-la poderá definir a próxima era do DevSecOps.
A mensagem principal é clara: proteger a camada base da nuvem não é mais opcional. A Echo está fornecendo uma solução fundamental para empresas que precisam implantar IA de forma segura e confiável.
