IBM investe 5 bilhões de dólares para corrigir vulnerabilidades de código aberto! Vai contratar 20 mil engenheiros, e 6 grandes instituições financeiras já aderiram

IBM 联手旗下开源子公司红帽（Red Hat）正式推出「Project Lightwell」计划，投资 50 亿美元并调集 2 万名全职工程师，以前沿 AI 技术大规模扫描开源软件漏洞。美国银行、摩根大通、Visa、万事达卡、富国银行和摩根士丹利已作为早期合作方接入平台，防护范围从红帽自有环境大幅扩充套件至 AI 框架、代码库与 Apache Kafka 等分散式基础设施。由动区动趋整理报道。
（前情提要：月下载近亿次 AI 套件 LiteLLM 爆供应链攻击，加密钱包、SSH 密钥全面沦陷）
（背景补充：AI 安全新创 Depthfirst 击败 Anthropic Mythos！揪出 NGINX 潜伏 18 年漏洞）

重点摘要

• IBM 联手红帽推出 Project Lightwell，投资 50 亿美元、调集 2 万名工程师以 AI 技术识别修复开源软件漏洞
• 美国银行、摩根大通、Visa、万事达卡、富国银行、摩根士丹利已作为早期合作方接入平台
• 防护范围从红帽自有系统扩充套件至 AI 框架、代码库及 Apache Kafka 等广泛开源技术生态

今年以来，开源软件供应链攻击的频率和破坏力正在加速升级。3 月，月下载量近亿次的 AI 套件 LiteLLM 被植入恶意代码，窃取加密钱包私钥和 SSH 密钥；5 月，连 OpenAI 员工的电脑都被 TanStack npm 供应链攻击波及。IBM 选择在这个时间点出手，把旗下红帽的安全能力从「自家系统」扩充套件到整个开源生态。

Project Lightwell 的规模不小，包括 50 亿美元投资，2 万名全职工程师。这些工程师全部来自 IBM 现有员工编制，百分之百专注于漏洞识别与修复，不是外包、不是兼职、不是挂名顾问。

红帽再次扩张

以往红帽的安全工具和漏洞扫描主要局限于自身的系统环境，例如 RHEL（Red Hat Enterprise Linux）和 OpenShift。

Project Lightwell 打破了这道边界。防护范围大幅向外扩充套件，覆盖包括 AI 框架（TensorFlow、PyTorch 等）、开源代码库，以及分散式数据流平台 Apache Kafka 在内的更广泛技术生态。Kafka 在全球金融业被大量使用，摩根大通一度开出超过 500 个要求 Kafka 经验的职位，它是实时交易处理、风控监控、监管报告的底层神经系统。

当你的实时支付系统底层跑的是 Kafka，而 Kafka 的某个依赖被植入恶意代码时，防火墙帮不了你。IBM 瞄准的就是这一层。

六大金融巨头先上车

Project Lightwell 宣布时就带上了六家早期合作方：美国银行（Bank of America）、摩根大通（JPMorgan Chase）、Visa、万事达卡（Mastercard）、富国银行（Wells Fargo）和摩根士丹利（Morgan Stanley）。

这份名单基本涵盖了美国金融业的核心，内含两家最大商业银行、两大卡组织、一家财富管理龙头、一家零售银行巨擘。它们的共同点是深度依赖开源基础设施，从 Kafka 到 Kubernetes 到各种 AI 推理框架，每一层都有可能成为供应链攻击的入口。

IBM 今年 5 月才刚宣布扩充套件旗下 AI 安全产品组合，并以 Project Glasswing 的名义深化与 Anthropic 的合作，Project Lightwell 是同一盘棋的下一步。

对金融业来说，这道防线来得不算太早。今年前五个月，开源供应链攻击就已经让多家科技公司和开发者付出巨大代价。

常见问题

Project Lightwell 的 2 万名工程师是新招聘的吗？

不是。这 2 万名全职工程师全部来自 IBM 现有员工，百分之百专注于开源软件的漏洞识别与修复工作，不涉及外部招聘。

Project Lightwell 与红帽原有的安全服务有什么不同？

以往红帽的安全工具主要局限于自身系统环境（如 RHEL、OpenShift），Project Lightwell 将防护范围扩充套件至 AI 框架、开源代码库及 Apache Kafka 等更广泛的开源技术生态。