惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Secure Thoughts
Recent Commits to openclaw:main
Recent Commits to openclaw:main
H
Heimdal Security Blog
SecWiki News
SecWiki News
H
Hacker News: Front Page
N
News | PayPal Newsroom
L
LINUX DO - 最新话题
N
News and Events Feed by Topic
TaoSecurity Blog
TaoSecurity Blog
AI
AI
C
Cybersecurity and Infrastructure Security Agency CISA
Scott Helme
Scott Helme
PCI Perspectives
PCI Perspectives
S
Securelist
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Cyberwarzone
Cyberwarzone
A
Arctic Wolf
Forbes - Security
Forbes - Security
T
Tor Project blog
Spread Privacy
Spread Privacy
WordPress大学
WordPress大学
I
Intezer
Martin Fowler
Martin Fowler
Help Net Security
Help Net Security
P
Proofpoint News Feed
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Cisco Talos Blog
Cisco Talos Blog
Latest news
Latest news
博客园 - 司徒正美
W
WeLiveSecurity
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
V
V2EX
P
Palo Alto Networks Blog
Google DeepMind News
Google DeepMind News
IT之家
IT之家
阮一峰的网络日志
阮一峰的网络日志
V
Vulnerabilities – Threatpost
Jina AI
Jina AI
S
Security Affairs
Hacker News - Newest:
Hacker News - Newest: "LLM"
Simon Willison's Weblog
Simon Willison's Weblog
Project Zero
Project Zero
T
Threatpost
P
Privacy International News Feed
人人都是产品经理
人人都是产品经理
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Application and Cybersecurity Blog
Application and Cybersecurity Blog
博客园 - Franky
Hugging Face - Blog
Hugging Face - Blog
Apple Machine Learning Research
Apple Machine Learning Research

InfoQ - 促进软件开发领域知识与创新的传播

Meta 收购 Manus 这事儿泡汤了 5.5万 Star 开源项目 Ghostty 被迫出走,GitHub 正在终结一代技术人的乌托邦 Slack 长时运行多智能体系统的上下文管理方案 从 T+1 到分钟级:金城银行基于 Apache Doris 构建高可靠、强一致的实时数据平台 谷歌云推出 Agents CLI,简化 AI 智能体开发全流程 Claude官方击穿高薪、高学历的安全防线!Anthropic点名10大高危职业,但有群人暂时稳了 亚马逊云科技终止 WorkMail 服务,并将 App Runner 转入维护模式 OPPO小布记忆:全模态碎片化内容的理解与智能整理实践|AICon上海 模力工场038周AI应用周榜:工具在消失,工作流在出现 Akamai CEO Tom Leighton:Agent 时代来临,云基础设施正从“中心化”转向“分布式边缘” 日均数百亿入库背后:从“人肉调度”到K8s弹性架构,度小满金融基于OceanBase重构入库架构实践 百度文库网盘发布GenFlow 4.0:月活用户超1亿,要把网盘变成全端AI工作台 Altman 投的 Agent 终端 Warp 开源了!斩获3.5万star 哪些客户需要拒, 敢让龙虾决定吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 从开发到生产:为什么越来越多的机器学习团队纷纷迁移到 Snowflake | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 探索多智能体工作流:LangGraph Snowflake Cortex AI | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 腾讯云分布式缓存数据库:AI Agent - 从提示词工程到 Harness 工程 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 基于 Streamlit 为 CSV 数据构建分析智能体 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 AI 智能体:告别文档缺漏 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 构建 AI 驱动的数据管道:深度探讨 Snowflake Openflow 与非结构化数据 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 云端太贵、本地不够聪明,英特尔押注“端云混合AI”:智能体PC会替人完成工作 不到10%的存储投入,可能拖垮90%的GPU投资!IBM把AI Agent塞进存储系统,算清企业最容易忽略的一笔账 Snowpark 上手实战 | BUILD 2025_大数据_王玮_InfoQ精选视频 ClickHouse + Langfuse,构建 Agent 可观测基石 腾讯云分布式缓存数据库:Cluster Proxy 共享连接架构深度解析 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 AI 写代码太烧钱了:Copilot、Claude 一起涨价,不如把程序员请回来? 英特尔发布至强600系列工作站处理器与锐炫Pro B70 GPU,全新AI工作站来了 腾讯云分布式缓存数据库:从 Redis 到 Valkey - 开源社区如何快速创新 | 腾讯云数据库 DBTalk_腾讯_凌敏_InfoQ精选视频 印奇这次要“从0重做”智驾模型!首谈阶跃和千里双公司布局:中国AI商业闭环要靠车跑出来 从Cursor返聘归来,90后华裔女高管带Claude开启日更模式:token成本比工程师工资低多了! 从 Coding 到 Agent:QCon 北京 2026 全景复盘,优秀出品人 & 明星讲师名单揭晓 全链路支撑大模型国产化“Day 0适配”,商汤大装置构建全栈能力底座 凌晨,OpenAI 与亚马逊云科技史上最大联合发布来了 HashiCorp Vault 2.0 发布:引入新身份联邦机制,迈入 IBM 生命周期体系 Yelp 实现超 1,000 个 Cassandra 节点零停机升级 写了 17 年开源代码,我为什么认为 Coding Agents 堆功能是在瞎折腾? 基于 Apache Camel 编排智能体与多模态 AI 管道 面向智能体与人类用户的AI记忆系统:架构设计与核心场景实践|AICon上海 Anthropic 推出 Managed Agents,简化 AI 代理部署流程 阿里HappyHorse开启灰测,720P视频生成低至0.44元/秒 讯飞联合清华团队押注量子AI:不看营收、不设KPI,一群“无人区”科学家,抢夺下代AI算力入口 小米万亿模型全面开源:MIT 协议、1M 上下文,但还是打不过 DeepSeek Cortex Code 入门指南:面向数据工程师的实践路径 | 技术实践 openJiuwen社区首发Team Skills,定义Coordination Engineering新范式 用 Snowflake Cortex Agents 释放结构化数据的最大价值 | 技术实践 Grafana 利用 Kafka 对 Loki 进行了架构重构,并发布了一款命令行工具,旨在将可观测性引入编码代理 ClickHouse重构全文索引:对象存储上跑出高性能 Full-Text Search 可观测性和遥测技术如何提升软件工程实践 Dropbox 与 GitHub 合作,将单体库大小从 87GB 缩减至 20GB Agent 的下一站:基于长期记忆系统 EverOS 的自我演进|AICon上海 同一赛道,四种收费:Agent 控制层(Harness)开始分裂 Cloudflare Sandboxes 正式发布,为 AI 代理提供持久化隔离环境 Agent 的“记忆断片”困局,该怎么破?_AI&大模型_AICon 全球人工智能开发与应用大会_InfoQ精选视频 数据分析师如何快速建立在 AI 时代最值钱的能力:一份可落地的行动路线图 摩尔线程最新财报:研发占比超86%,万卡级大规模智算集群落地 当云区域失效:地缘动荡环境下的高可用重构 Slack 重构通知系统,设置参与度提升 5 倍 智能体工程的隐性技术债务 “我把所有模型都换成了DeepSeek V4”:月账单将降 90%,效果还更好 阿里云智能集团高级技术专家刘少伟已确认出席AICon上海站,并分享如何构建企业 Agent 的自动化行动架构 构建生产就绪的 tRPC API:Apollo Federation 的 TypeScript 替代方案 Anthropic推出面向Claude Code的基于智能体的代码审查功能 北京车展直击:斑马智能甩出车载Agent短剧,比亚迪率先落地,AI让智能座舱又热起来了 Snowflake 作为智能体运行时:从静态管道迈向自主数据系统 | 技术实践 Snowflake 上的本体体系:基于 Cortex Code 能力实现从架构到部署 | 技术实践 Cloudflare 公布 MCP 架构方案,应对企业面临的安全与治理风险 复杂的项目管理怎么做到「AI 友好」?飞书项目用「开放」给出答案 Snowflake Cortex Code 的规范驱动开发:将 SDLC 方法论引入 AI 辅助工作流 | 技术实践 Copilot 不让注册了:从“随便用”到“全面限”,agent 把原有订价模型顶穿了 当互联网用AI卷效率时,这家公司先问了一连串“能不能” Meta 开始记录员工每一次点击:AI 要接管工作,先监控会工作的人 Meta“Token榜”逼疯打工人,一夜烧掉公司几万刀!AI时代Token焦虑越来越离谱 智源FlagOS完成DeepSeek-V4-Flash在八款芯片Day0适配,实现三重技术突破 DeepSeek V4 重磅开源!首次打通华为Ascend,也没丢掉英伟达,百万上下文夺回国产模型话语权 李志飞的“新实验”:当超级个体撞上真实组织 GPT-5.5 登顶时刻,Anthropic 亲口承认 Claude 变笨了!网友群嘲:太敷衍 那些没空写的小需求,龙虾真能做吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 从 Pandas 到生产:使用任意 IDE 进行可扩展的 ML 数据管道与分布式处理 | BUILD 2025_AI&大模型_王玮_InfoQ精选视频 pnpm 11 候选版本发布,带来 ESM 分发、供应链默认设置以及新的存储格式 银行业PDF表格提取方案重构:基于Java的分层方案 GPT-5.5 赢了 Opus 4.7 和 Mythos?奥特曼晒黄仁勋内部信:英伟达全员用上 Codex! Cloudflare 推出 Think:一款面向 AI 代理的持久化运行时 1850亿美元天价支出、75%代码由AI生成!谷歌正式宣告:全面转向智能体工作流 xAI落后太多,马斯克“开大”重金求购Cursor,100亿美金“分手费”都敢签! Pulumi 新增对 Bun 运行时的全面支持 姚顺雨腾讯模型首秀!不卷参数只做 “听话打工人”,Hy3 preview登场 | 附实测 老板让你“忽悠”投资人,你敢发给龙虾吗?_AI&大模型_InfoQ 中文站_InfoQ精选视频 Gemini CLI 引入子代理机制,实现任务委派与并行代理工作流 清华系团队星工聚将完成数千万天使轮融资,轮式机器人拿下头部制造企业亿级大单 Pretext.js 绕过 DOM 布局重排,实现 120 FPS 的高级交互体验 靠“AI 云”爆红的 Vercel,栽在一个第三方AI工具手里!IPO前夕遭黑,200万美元赎金谈崩? 高能研讨会|端侧 AI 正在重写实时感知效率上限_AI&大模型_王玮_InfoQ精选视频 2050大会看这篇就够了|报名、交通食宿指引大全 Java 近期资讯:OpenJDK JEP、Jakarta EE 12、Spring Framework、Micrometer、Camel、JBang 金融智能的架构编排:基于 Snowflake Cortex Agents 实现结构化与非结构化数据统一分析 | 技术实践 在AK大神爆火的任务里,摸清国产AI真实水平 百灵Ling-2.6-flash 正式发布:高 Token 效率,以 1/10 消耗实现 SOTA 级 Agent 能力 当 PM 懂AI,当技术懂产品:AI 时代产品力的双向进化|PM x AI产品力领航者大会即将开幕 为 AI 智能体设计记忆机制:揭秘 LinkedIn 的认知记忆智能体 获奖名单公布|2026主题征文第一期|分享你最有价值的龙虾场景与核心 Skill_热门活动_InfoQ写作社区官方_InfoQ写作社区
Athena 联盟成立:以协同防御应对开源软件安全风险
作者:Matt Saunders马可薇 · 2026-06-27 · via InfoQ - 促进软件开发领域知识与创新的传播

网络安全公司 Chainguard 宣布成立 Athena 联盟,希望借助人工智能技术,在攻击者利用漏洞之前,提前发现并修复被广泛使用的开源软件中的安全问题。联盟首批成员超过二十家,既包括金融机构,如 BNY 和 JPMorgan Chase,也包括基础设施和安全领域厂商,如 Cisco、Cloudflare、Docker、Kyndryl 和 PwC。联盟关注的对象包括开源库、容器镜像以及其他底层组件,这些组件支撑着浏览器、数据中心、智能手机和支付系统等关键基础设施。

Athena 联盟的成立,主要是为了应对前沿 AI 模型带来的新挑战。如今的大模型已经能够阅读大规模代码库、分析复杂的依赖关系图,并发现那些经过多年专家审查仍然未被发现的组合式漏洞。据Infosecurity 杂志报道,Chainguard 此次重点关注的是类似 Anthropic Mythos 和 OpenAI GPT 5.5 Cyber 等安全研究项目所发现的问题。Secnews 及 Newsbytes 等一些安全行业报告指出,从漏洞被发现到被攻击者利用的时间窗口,已经从过去的数月甚至数年,缩短到了几个小时。这意味着攻击者可能会比传统的漏洞披露与修复流程更快地利用 AI 发现的漏洞。Chainguard 表示,Athena 并非一个停留在概念阶段的项目,而是已经投入实际运行。仅在内部运行约一个月后,联盟就已经在多个开源项目中取得了明显进展。

Athena 已经正式投入运行。我们处理了超过 20,000 条漏洞发现结果,为 500 个项目提交了 2,000 多个补丁,并启动了首批协调披露流程。

—— Dan Lorenc

Athena 的工作流程从联盟成员共享漏洞发现结果开始,其中既包括人工发现的问题,也包括各成员利用 AI 开展漏洞研究所获得的成果。随后,这些发现会进入统一的共享平台,经过去重、分类和补充分析后,再由联盟成员共同制定修复方案和缓解措施,并在漏洞公开披露之前完成协调处理。如果短时间内无法给出可靠补丁,参与方还可以先通过网络策略、检测规则或虚拟补丁等分层防护措施降低风险,为后续正式修复争取时间。

Athena 的另一个特点是强调“向上游修复”(upstream remediation),而不是把补丁长期保留在企业自己的私有分支中。联盟认为,一个成员发现的漏洞应尽可能修复并推送到上游项目中,让整个生态系统共同受益。Athena 被描述为一个由 AI 驱动的网络安全协作平台,某种程度上与一些政府推动的高危漏洞集中分析机制有相似之处。

一个成员发现的漏洞,往往可以在正式披露之前就转化为整个生态系统共享的修复成果。

—— Dan Lorenc

对于 Docker 而言,参与 Athena 可以看作其为开发者设计的“默认安全”战略的延伸。Docker 在官方博客中介绍了其现有的安全能力,包括在隔离的微型虚拟机中运行 AI 编码代理、提供带有签名 SBOM 的加固基础镜像,以及通过托管 MCP 目录控制外部工具访问权限等。InfoQ 此前报道过 Docker Hardened Images。该项目体现了业界向精简基础镜像和快速漏洞修复演进的趋势,通过减少组件数量和缩短补丁交付周期来降低容器环境的攻击面。从这个角度来看,Athena 更像是现有安全体系的补充,它与各厂商提供的安全产品相辅相成,帮助组织更容易落实默认安全理念,而非替代这些方案。

Chainguard 长期以来一直强调,软件供应链的风险并不主要集中在最热门的几个组件上,而更多存在于庞大的“长尾依赖”之中。今年早些时候,InfoQ 曾引用 Chainguard 的统计数据指出,在其客户环境中发现的容器 CVE 实例里,98% 来自排名前二十之外的镜像,尽管这些热门镜像占据了大约一半的下载量。这说明那些不太受关注、维护周期较长的镜像更容易积累未修复漏洞,而 Chainguard 又是如何宣称他们对热门或长尾镜像中关键问题的迅速修复。Athena 可以被看作是对同一问题的回应,只不过关注点从容器镜像扩展到了整个开源生态系统。

目前业界也存在一些类似的供应链安全项目,它们同样试图构建共享基础设施,而非单点工具。OSC&R 框架提供了类似 MITRE ATT&CK 的软件供应链攻击战术与技术分类体系,其中也包括针对开源代码库和 CI/CD 系统的攻击;谷歌的 GUAC 项目 将 SBOM 等元数据、证明和漏洞信息汇聚到统一图谱中,帮助安全团队分析软件制品之间的关系;CNCF 毕业项目 in-toto 则为软件构建和部署流程中的完整性验证提供了标准化机制。

社区目前对 Athena 的态度总体较为谨慎但保持关注。在领英上,Florin Lungu 借 Docker 关于 Athena 的公告发起讨论,询问同行认为哪些措施最有助于提升供应链安全。相关讨论主要集中在依赖资产清单管理、补丁治理流程等话题上。从目前反馈来看,许多从业者最关心的问题并不是 Athena 的理念是否正确,而是它能否真正提供超越现有漏洞扫描工具和安全框架的实际价值。

Athena 的核心思路,是让多家大型组织共享 AI 发现的漏洞线索,并在漏洞公开披露之前协同完成修复工作。它并没有提出新的格式标准或参考架构,而是试图把漏洞治理变成一个覆盖银行、云服务商、安全厂商以及开源维护者的生态协作流程。如果未来联盟规模进一步扩大,如何建立信任机制、管理保密期、维护与开源项目维护者之间的关系,都将成为重要挑战。这些问题也正是 Athena 与单个组织内部即可落地的纯技术项目最大的区别所在。

查看英文原文:Athena Coalition Brings Coordinated Defence to Open Source Security - InfoQ