Linux Foundation привлекла 12,5 миллиона долларов для решения проблемы, когда AI-инструменты наводняют открытые проекты большим количеством низкокачественных отчетов о уязвимостях. Семь компаний в области ИИ и облачных технологий — Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft и OpenAI — внесли средства в этот фонд, управляемый через Open Source Security Foundation (OpenSSF) и Alpha-Omega.
Эти организации разработали AI-инструменты, которые генерируют множество отчетов о безопасности. Теперь они пытаются решить проблему, которую сами же и создали. Фонд будет направлен на разработку инструментов для автоматической сортировки (triage) уязвимостей, оказание прямой поддержки maintainerам и реализацию долгосрочных стратегий устойчивости.
Примером этой проблемы может служить случай cURL. В январе 2026 года maintainer проекта закрыл программу поиска уязвимостей из-за потока низкокачественных, автоматически генерируемых отчетов, которые он не мог обрабатывать. Аналогичные проблемы были замечены и в Python Software Foundation, что указывает на масштабирование этой проблемы.
Alpha-Omega, организация, уже распределившая более 20 миллионов долларов через 70 грантов, будет управлять частью новых средств. Они работают напрямую с maintainerами, стремясь интегрировать новые инструменты в существующие рабочие процессы, а не навязывать решения сверху.
Однако масштаб проблемы огромен. 12,5 миллиона долларов предназначены для поддержки сотен тысяч проектов с открытым исходным кодом, хотя предыдущие гранты достигли лишь небольшой части этих проектов.
Хотя объявление указывает на направление, конкретные инструменты и сроки их реализации пока не раскрываются. Инициатива считается необходимым шагом для предотвращения перегрузки экосистемы с открытым исходным кодом за счет AI-генерируемого шума. Однако критики отмечают, что финансирование решает лишь последствия проблемы, в то время как давление на входе продолжает расти.
Компании-участники не обязались ограничивать количество AI-генерируемых отчетов или добавлять препятствия к автоматической генерации таких отчетов. Средства будут использованы для создания инструментов, помогающих maintainerам выявлять и приоритизировать реальные уязвимости, а не просто фильтровать шум.
Успех этого предприятия будет зависеть от того, появятся ли эти инструменты и будут ли они активно использоваться maintainerами. Следует ожидать конкретных объявлений об инструментах от OpenSSF, а также информацию о грантах в 2026 году. Также важно будет наблюдать за тем, начнут ли компании-участники регулировать свои AI-инструменты для обеспечения безопасности.