IBM与红帽50亿美元投资 开源安全大升级

先说一个关键判断：开源软件的安全问题，已经到了必须拿出系统性解决方案的时候。IBM和红帽最近联手推出的“光井计划”（Project Lightwell），正是冲着这个痛点来的——他们想用AI技术给开源生态装上一道“安全闸门”。

具体怎么做？核心是搭建一个名为“可信企业清算所”的平台。这个平台会动员全球超过2万名工程师，借助AI能力大规模识别和修复开源软件中的漏洞。你可能会问，为什么需要这么多人？因为现代企业使用的开源组件数量惊人——仅IBM一家，就用了超过6.2万个开源软件包，其中1万多个包是他们深度参与维护的。而最近Anthropic的Claude Mythos模型一次性检测出2.3万个漏洞，更是把问题的紧迫性摆在了台面上。

“可信企业清算所”本质上是一个安全协调层。它通过AI自动验证和测试修复方案，然后以商业订阅的形式，把经过验证的补丁直接接入企业的软件供应链。这个过程有两个关键点：一是企业可以在安全框架内分享敏感的安全问题，二是最终获得的补丁会针对生产环境做优化。到了这一步，修复方案还可以向上游开源社区回馈，形成良性循环。

从落地时间表来看，IBM软件高级副总裁罗伯·托马斯透露，该计划将在未来30天内正式商业推出，订阅费用取决于企业使用的软件包数量。目前，包括美国银&行、花旗集团、高盛、摩根大通、万事达、摩根士丹利、加拿大皇家银&行、Visa和富国银&行在内的多家顶级金融机构，已经参与了初步试点。这些试点的反馈，将为后续的商业服务提供重要参考。

IBM董事长兼首席执行官阿尔文·克里希那的话点明了这背后的战略意图：开源软件是当今数字经济的基础，也是现代AI的核心。光井计划试图把AI能力、工程专业知识和可信协作结合在一起，从源头保障开源软件的安全，覆盖整个供应链。这当然不是一件容易的事，但方向是对的——与其等漏洞爆发后再补救，不如让AI提前介入，把风险扼杀在摇篮里。

划重点：

- IBM与红帽联合推出“光井计划”，旨在提升开源软件安全性。

- 超过2万名工程师将参与建立“可信企业清算所”，专注于识别和修复安全漏洞。

- 企业可通过订阅获取安全补丁，已有多家大型金融机构参与试点。