IBM dépense 5 milliards de dollars pour combler les vulnérabilités open source ! Prévoyait de recruter 20 000 ingénieurs, 6 grandes institutions financières ont déjà rejoint le mouvement

IBM s'associe à sa filiale open source Red Hat pour lancer officiellement le projet « Project Lightwell », investissant 5 milliards de dollars et mobilisant 20 000 ingénieurs à plein temps pour scanner à grande échelle les vulnérabilités des logiciels open source à l'aide de technologies d'IA de pointe. Des banques américaines, JPMorgan Chase, Visa, Mastercard, Wells Fargo et Morgan Stanley ont rejoint la plateforme en tant que partenaires précoces, étendant la portée de la protection de l'environnement de Red Hat à des frameworks d'IA, des dépôts de code et des infrastructures distribuées telles qu'Apache Kafka. Rapporté par Dongqu Dongqu.
(Précédent contexte : Près d'un milliard de téléchargements mensuels pour le package d'IA LiteLLM, vulnérable aux attaques de la chaîne d'approvisionnement, avec des portefeuilles cryptographiques et des clés SSH compromises)
(Complément d'information : La nouvelle startup en sécurité IA Depthfirst bat Anthropic Mythos ! Détection d'une vulnérabilité de 18 ans dans NGINX)

Résumé des points clés

• IBM s'associe à Red Hat pour lancer Project Lightwell, investissant 5 milliards de dollars et mobilisant 20 000 ingénieurs pour identifier et réparer les vulnérabilités des logiciels open source via l'IA
• Des banques américaines, JPMorgan Chase, Visa, Mastercard, Wells Fargo et Morgan Stanley ont rejoint la plateforme en tant que partenaires précoces
• La protection s'étend du système propre de Red Hat à un écosystème technologique open source plus large comprenant des frameworks d'IA, des dépôts de code et Apache Kafka

Depuis le début de cette année, la fréquence et la gravité des attaques contre la chaîne d'approvisionnement des logiciels open source s'accélèrent. En mars, le package d'IA LiteLLM, téléchargé près d'un milliard de fois par mois, a été infecté par un code malveillant, volant des clés privées de portefeuilles cryptographiques et des clés SSH ; en mai, même les ordinateurs des employés d'OpenAI ont été affectés par une attaque de la chaîne d'approvisionnement via TanStack npm. IBM a choisi ce moment pour agir, étendant la capacité de sécurité de Red Hat, de ses propres systèmes à l'ensemble de l'écosystème open source.

La taille du projet Lightwell est considérable : 5 milliards de dollars d'investissement, 20 000 ingénieurs à plein temps. Ces ingénieurs proviennent tous de l'effectif existant d'IBM, entièrement dédiés à l'identification et à la correction des vulnérabilités, sans externalisation, sans temps partiel, sans consultants en sous-traitance.

Red Hat s'étend à nouveau

Autrefois, les outils de sécurité et de scan de vulnérabilités de Red Hat se limitaient principalement à ses propres environnements, comme RHEL (Red Hat Enterprise Linux) et OpenShift.

Project Lightwell brise cette barrière. La portée de la protection s'élargit considérablement, couvrant notamment les frameworks d'IA (TensorFlow, PyTorch, etc.), les dépôts de code open source, ainsi que des plateformes de flux de données distribués comme Apache Kafka, dans un écosystème technologique plus vaste. Kafka est largement utilisé dans le secteur financier mondial ; JPMorgan Chase a publié plus de 500 offres d'emploi requérant une expérience Kafka, qui constitue le système nerveux sous-jacent pour le traitement des transactions en temps réel, la surveillance des risques et la conformité réglementaire.

Lorsque votre système de paiement en temps réel repose sur Kafka, et qu'une dépendance de Kafka est infectée par un code malveillant, un pare-feu ne pourra pas vous protéger. IBM cible précisément cette couche.

Six grands acteurs financiers prennent d'abord le train

Lors de l'annonce de Project Lightwell, six partenaires précoces ont été mentionnés : Bank of America, JPMorgan Chase, Visa, Mastercard, Wells Fargo et Morgan Stanley.

Ce groupe couvre essentiellement le cœur de la finance américaine, comprenant deux des plus grandes banques commerciales, deux principales organisations de cartes, un leader en gestion de patrimoine et une banque de détail majeure. Leur point commun : une dépendance profonde à l'écosystème open source, de Kafka à Kubernetes en passant par divers frameworks d'inférence IA, chaque couche pouvant potentiellement devenir une porte d'entrée pour une attaque de la chaîne d'approvisionnement.

En mai cette année, IBM a annoncé l'expansion de sa gamme de produits de sécurité IA sous la bannière Project Glasswing, approfondissant sa collaboration avec Anthropic. Project Lightwell représente la prochaine étape de cette stratégie.

Pour le secteur financier, cette ligne de défense n'arrive pas trop tôt. Rien qu'au cours des cinq premiers mois, les attaques de la chaîne d'approvisionnement open source ont déjà coûté cher à plusieurs entreprises technologiques et développeurs.

Questions fréquentes

Les 20 000 ingénieurs de Project Lightwell sont-ils de nouvelles recrues ?

Non. Ces 20 000 ingénieurs à plein temps proviennent tous de l'effectif existant d'IBM, entièrement dédiés à l'identification et à la correction des vulnérabilités des logiciels open source, sans recrutement externe.

En quoi Project Lightwell diffère-t-il des services de sécurité existants de Red Hat ?

Autrefois, les outils de sécurité de Red Hat se limitaient à ses propres environnements (RHEL, OpenShift). Project Lightwell étend la protection à un écosystème open source plus large, incluant frameworks d'IA, dépôts de code open source et plateformes comme Apache Kafka.