把时间拨回到2023年。那时IBM内部流传着一份技术演示文档,标题就叫《为什么我们的代码库在一夜之间过时了》。起因是Anthropic的Mythos模型展示出一种近乎直觉的漏洞挖掘能力,它不是靠已知的漏洞库去匹配,而是像一名有十年经验的渗透测试专家那样,去推理代码的结构弱点。那份文档最终被摆到了CEO Arvind Krishna的桌上。
这不是IT部门提交的常规预警,它直接撕开了现代企业软件架构中最脆弱的一层皮。开源代码无处不在,银行交易系统跑着开源组件,航空调度系统依赖开源库,甚至连五角大楼的后勤软件都大量采用开源方案。它们的维护者可能只是几个用爱发电的开发者,而Mythos能在几分钟内找到人类安全专家需要几个月才能发现的攻击路径。
Krishna在接受CNBC独家采访时没有回避这一点。“Mythos是这件事上最关键的触发因素,”他说得很直白。没有铺垫,没有外交辞令。这位负责管理IBM庞大企业服务帝国的CEO承认,他们必须立刻行动。
于是就有了周四宣布的那个50亿美元投资计划。官方名称叫“光井计划”,一个听起来像是试图把光线锁在容器里的隐喻。事实上它确实在做类似的事:在开源软件这座没有围墙的花园里,建立一套可以持续发现并修补漏洞的机制。合并后的IBM和Red Hat投入了两万名软件工程师,这不是一次性的安全审计突击,而是在建一座长期运转的防护工事。
Red Hat加入这个计划并不让人意外。作为开源世界的守门人之一,Red Hat维护着大量企业级Linux发行版和中间件,它的工程师们本身就是开源社区的核心贡献者。现在他们的任务发生了微妙的变化:不再只是让开源软件跑得更稳更快,还要确保它们不会在Mythos这类模型面前裸奔。
最先吃螃蟹的人已经出现。高盛、摩根士丹利、摩根大通和美国银行这四家华尔街巨头,在计划公布前就成了早期使用者。金融业对开源的依赖度远比外界想象的高,它们的交易系统、风控模型、数据分析管线里充斥着开源组件。当银行开始主动加入一个还没正式发布的网络安全项目时,你就知道这份焦虑有多真实。
Krishna解释这些银行的参与逻辑时用了一句话:“他们会使用最新的工具来找出可能存在的漏洞,以及那些还没有现成补丁的地方。”注意他说的“没有现成补丁”,这是开源安全最头疼的问题。闭源软件的漏洞通常有厂商兜底,紧急补丁能在几小时内发布。但开源项目呢?如果一个维护者已经三个月没登录GitHub,那漏洞就等于敞开着门等人来打。
消息传出后,IBM股价应声上涨。市场显然认为,在老牌科技公司普遍陷入增长焦虑的年份里,能把新一轮AI安全恐慌转化为50亿美元商业动能的,反而是这家经常被嘲笑“转型太慢”的百年老店。
但更值得琢磨的是IBM对自身定位的重新梳理。Krishna在采访中谈到了一个容易被忽视的点:“大型语言模型在发现漏洞方面表现得异常熟练,无论是在专有代码还是开源代码中,它们都能找到可被利用的问题。”他没有把这句话当成警告来说,更像是在陈述一个已经被验证过多次的事实。
这段话的背景值得展开。Mythos并不是第一个展示漏洞挖掘能力的模型,但它展现出的“推理深度”让人警觉。传统自动化扫描工具依赖模式匹配,就像拿着通缉令去街上比对面孔。Mythos更像是能读懂犯罪心理学的侦探,它会想:“如果我想从这个数据库里偷数据,我会怎么绕过输入验证?”这种能力让企业安全团队第一次感受到,对手可能是一个不知疲倦、无限进化的机器。
Project Glasswing的亮相则为这场攻防战提供了另一个观察窗口。这个网络安全倡议正在预览Mythos,可以把它理解成在威胁全面释放之前,提前搭建一个试验场。多家机构在这个环境里测试自己的防御体系能撑多久,然后再把经验反哺到“光井计划”的实践中。
但即便高层开了多轮会议讨论应对路线,目前仍然没有一个统一的策略。这是因为问题本身太复杂。开源生态没有单一控制点,每个项目有自己的治理结构、社区文化和更新节奏。你不能下一道行政命令让全球所有开源项目打完补丁,这根本不现实。IBM选择的方式是把工程资源直接注入,派工程师去帮助合作伙伴加固软件。
Krishna在定位与传统网络安全公司的关系时,给出了一个出人意料的答案。“他们在保护边界方面做得很出色,在搞清楚到底发生了什么方面也很出色,”他说,“但他们不做补丁修复,也不做对其他软件的保护工作。所以我认为,我们做的事情是对他们的能力体系的一种很好的补充。”这段话的精明之处在于,他没有试图去抢Palo Alto或CrowdStrike的饭碗,而是画出了一条清晰的分界线:你们看见坏人,我们来修好被坏人踢坏的门。
RBC Capital的分析师Matthew Swanson在周四的一份报告中点出了IBM做这件事的深层逻辑:作为全球最大的开源软件提供商之一,IBM本身就有足够的动力去持续保护这个生态。这句话换一种说法就是:如果开源出了大问题,IBM的业务也会跟着倒霉。这不是慈善行为,这是对自己供应链的安全投资。
IBM股价上周还因为另一件事涨了12%。特朗普政府宣布投资10亿美元建设量子芯片制造中心,而IBM恰好是量子计算领域投入最猛的企业之一。Krishna对此的表态同样直接:“我们相信,在美国拥有制造能力对量子计算和国家安全来说极其重要。”他随后补了一句非常IBM风格的长期判断:“如果量子计算在2030年代早期发展到我所预期的程度,我们将需要大幅扩大产能。”
把量子计算的安全议题和开源软件的安全议题放在一起看,IBM正在押注一种核心主张:未来十年的科技竞争将来自基础设施层面的安全焦虑,而不是应用层的功能堆叠。量子计算机可能破解现有加密体系,Mythos这样的模型可能找到所有软件的漏洞。IBM的解题思路不是堵住每一个洞,而是搭建足够强大的修复基础设施。
这两万名工程师能改变什么?历史经验表明,开源安全从来不是因为某家公司砸了钱就变好的。但IBM这次的不同之处在于,它不再试图控制方向,而是用自身规模去填补那些志愿者社区无法覆盖的盲区。当一个只有两个维护者的开源库突然被部署到全球500强的生产环境时,谁来负责它的安全审计?IBM试图用这两万人给出答案。
市场对这个答案的初步反馈是积极的。虽然50亿美元的投资需要很长时间才能看到回报,但华尔街的早期信号说明了一件事:在大模型时代,安全不再只是一道防火墙,它正在变成企业软件采购清单上最重的那一枚筹码。
热门跟贴