IBM invierte 5 mil millones de dólares para abordar vulnerabilidades de código abierto! Buscará a 20,000 ingenieros para unirse, y 6 grandes instituciones financieras ya se han integrado

IBM junto a su subsidiaria de código abierto Red Hat lanzan oficialmente el plan "Project Lightwell", invirtiendo 5 mil millones de dólares y movilizando 20,000 ingenieros a tiempo completo para escanear a gran escala vulnerabilidades en software de código abierto mediante tecnología avanzada de IA. Los bancos estadounidenses, JPMorgan Chase, Visa, Mastercard, Wells Fargo y Morgan Stanley ya se han unido como socios tempranos en la plataforma, ampliando significativamente el alcance de protección desde los entornos propios de Red Hat hasta marcos de IA, repositorios de código y plataformas de infraestructura distribuida como Apache Kafka. Reportado por Dongqu Dongqu.
(Resumen previo: casi mil millones de descargas mensuales de la suite de IA LiteLLM sufre ataques en la cadena de suministro, con billeteras criptográficas y claves SSH completamente comprometidas)
(Información adicional: Depthfirst, startup de seguridad en IA, derrota a Anthropic Mythos! Detecta vulnerabilidades ocultas en NGINX durante 18 años)

Resumen de puntos clave

• IBM junto a Red Hat lanzan Project Lightwell, invirtiendo 5 mil millones de dólares y movilizando 20,000 ingenieros para identificar y reparar vulnerabilidades en software de código abierto mediante IA
• Los bancos estadounidenses, JPMorgan Chase, Visa, Mastercard, Wells Fargo y Morgan Stanley ya participan como socios tempranos en la plataforma
• El alcance de protección se extiende desde los sistemas propios de Red Hat hasta un amplio ecosistema de tecnologías abiertas, incluyendo marcos de IA, repositorios de código y Apache Kafka

Este año, la frecuencia y el impacto de los ataques a la cadena de suministro de software de código abierto se han acelerado. En marzo, la suite de IA LiteLLM, con casi mil millones de descargas mensuales, fue infectada con código malicioso que robó claves privadas de billeteras criptográficas y claves SSH; en mayo, incluso las computadoras de empleados de OpenAI fueron afectadas por un ataque en la cadena de suministro de TanStack npm. IBM decidió actuar en este momento, expandiendo las capacidades de seguridad de Red Hat desde sus propios sistemas hasta toda la ecosfera de código abierto.

El tamaño de Project Lightwell no es menor, con una inversión de 5 mil millones de dólares y 20,000 ingenieros a tiempo completo. Todos estos ingenieros provienen del personal existente de IBM, dedicados exclusivamente a la identificación y reparación de vulnerabilidades, sin subcontratación, sin trabajo a tiempo parcial ni consultores externos.

Red Hat se expande nuevamente

Hasta ahora, las herramientas de seguridad y escaneo de vulnerabilidades de Red Hat estaban principalmente limitadas a sus propios entornos, como RHEL (Red Hat Enterprise Linux) y OpenShift.

Project Lightwell rompe esa barrera. El alcance de protección se amplía considerablemente hacia afuera, cubriendo marcos de IA (TensorFlow, PyTorch, etc.), repositorios de código abierto y plataformas de flujo de datos distribuidos como Apache Kafka, en un ecosistema tecnológico más amplio. Kafka es ampliamente utilizado en la industria financiera global; JPMorgan Chase ha publicado más de 500 vacantes que requieren experiencia en Kafka, que es el sistema nervioso subyacente para procesamiento de transacciones en tiempo real, monitoreo de riesgos y reportes regulatorios.

Cuando tu sistema de pagos en tiempo real funciona sobre Kafka y alguna dependencia de Kafka es infectada con código malicioso, un firewall no puede protegerte. IBM apunta precisamente a esa capa.

Se unen los seis grandes bancos

Al anunciar Project Lightwell, se sumaron seis socios tempranos: Bank of America, JPMorgan Chase, Visa, Mastercard, Wells Fargo y Morgan Stanley.

Esta lista cubre esencialmente el núcleo de la industria financiera estadounidense, incluyendo dos de los mayores bancos comerciales, dos principales organizaciones de tarjetas, un líder en gestión de patrimonio y un gigante en banca minorista. Todos dependen profundamente de infraestructura de código abierto, desde Kafka hasta Kubernetes y diversos marcos de IA, cada capa potencialmente vulnerable a ataques en la cadena de suministro.

En mayo de este año, IBM anunció la expansión de su portafolio de productos de seguridad IA y profundizó su colaboración con Anthropic bajo el nombre de Project Glasswing. Project Lightwell representa el siguiente paso en esta estrategia.

Para la industria financiera, esta línea de defensa no llega demasiado pronto. Solo en los primeros cinco meses del año, los ataques en la cadena de suministro de código abierto ya han causado daños significativos a varias empresas tecnológicas y desarrolladores.

Preguntas frecuentes

¿Los 20,000 ingenieros de Project Lightwell son nuevos contratados?

No. Todos estos ingenieros a tiempo completo provienen del personal existente de IBM, dedicados exclusivamente a la identificación y reparación de vulnerabilidades en software de código abierto, sin contratación externa.

¿En qué se diferencia Project Lightwell de los servicios de seguridad existentes de Red Hat?

Anteriormente, las herramientas de seguridad de Red Hat estaban principalmente limitadas a sus propios entornos, como RHEL y OpenShift. Project Lightwell amplía el alcance de protección hacia marcos de IA, repositorios de código abierto y plataformas como Apache Kafka, en un ecosistema de tecnologías abiertas más amplio.