事件经过
IBM 和 Red Hat 于2026年5月28日宣布了 Project Lightwell,这是一项由20,000多名工程师支持的50亿美元倡议,建立了一个可信的企业信息交换中心,使用AI来识别、分类和验证开源软件中的漏洞。早期采用者包括11家主要金融机构(Bank of America、JPMorganChase、Goldman Sachs、Visa、Mastercard等)。商业订阅服务将在30天内推出,涵盖AI框架、语言工具链以及IBM/Red Hat传统产品范围之外的独立库。
影响分析
这一倡议直接解决了AI加速的漏洞发现问题——Anthropic的Mythos Preview发现了约3,900个关键OSS漏洞——通过引入供应商支持的、AI辅助的信息交换中心模型来建立供应链信任。金融行业的深度早期承诺使其在12-18个月内成为受监管行业的事实标准。
适用范围
在开源基础设施(Kubernetes、Kafka、Python ML框架)上运行AI的企业应该评估 Project Lightwell 订阅服务,作为维护内部OSS漏洞程序的替代方案。安全咨询团队应该将其定位为客户评估OSS供应链风险的基准。