IBM承诺投入50亿美元，以AI技术保障开源软件安全

IBM与红帽承诺向Project Lightwell投入50亿美元。该项目作为一个清算中心，利用前沿AI技术和2万名工程师，识别并修复企业软件供应链中的开源漏洞。

"开源是当今数字经济的支柱，也是现代AI的基础，我们正处于构建、保护和扩展开源方式的关键转折点，"IBM董事长兼首席执行官Arvind Krishna表示。"通过Project Lightwell，IBM和红帽正在帮助定义一种新的行业模式，该模式将AI、工程专业知识和可信协作结合在一起，从源头到整个供应链保障开源软件的安全。"

这一举措正值AI驱动的漏洞发现加速之际。仅Anthropic的Mythos Preview模型就在开源代码中识别出近3900个高或严重级别的漏洞。IBM表示，《财富》500强企业中有超过90%依赖开源软件。该清算中心将提供经过验证的补丁的商业订阅、上游披露协调以及企业级生命周期管理服务。

该模式直接挑战了当前利用AI减少技术人员的行业趋势。IBM反而将工程能力定位为战略资产，部署了一支2万人的团队，负责上游维护、漏洞分类和补丁开发。早期采用者包括美国银行、花旗集团、高盛、摩根大通、万事达卡、摩根士丹利和Visa——这为IBM提供了来自金融行业最复杂软件环境的真实反馈。

清算中心模式

Project Lightwind建立在IBM和红帽现有的企业级开源运营基础之上。IBM目前使用超过6.2万个开源软件包，并对其中的1万个拥有深厚专业知识。该公司管理着包括Linux、Java、Kubernetes、Kafka、Ansible、Terraform、Flink和Cassandra在内的技术——这是行业内最广泛的商业开源生态系统之一。该清算中心将这一规范扩展到IBM自身产品范围之外，涵盖独立库、语言工具链、AI框架和数据流平台。

通过该清算中心，企业可以报告在其活跃软件版本中发现的漏洞，接收针对生产环境优化的补丁，并协调上游披露，以便开源社区能够在长期维护中包含修复方案。该模式借鉴了Anthropic的Project Glasswind和OpenAI的Trust Access for Cyber计划的经验，IBM运用自身的自主安全方法来保护支撑现代企业和AI系统的底层开源层。

投资影响

对投资者而言，Project Lightwell释放了一个信号：企业安全支出将转向托管式开源风险管理。IBM实际上正在创建一个新的订阅类别——开源安全清算中心——这可能会从已经在红帽订阅和IBM咨询上投入资金的金融机构中产生经常性收入。早期采用者名单由全球系统重要性银行主导，这表明该产品解决了一个内部安全团队难以独自应对的痛点。

IBM股价目前约为远期市盈率的22倍。这笔50亿美元的承诺，在多年内分摊，对于年营收620亿美元的IBM来说，是一项有意义但可控的赌注。如果清算中心模式获得市场认可，可能会迫使Snyk、Sonatype和GitHub的Dependabot等竞争对手扩大其托管安全服务。更广泛的影响在于：随着AI加速漏洞发现，保障开源安全的成本正在上升——企业越来越愿意将这一风险外包给具有规模优势的供应商。

本文仅供资讯参考，不构成投资建议。