AI讓開源漏洞風險驟升！IBM與Red Hat投入50億美元啟動Project Lightwell，兩萬工程師攜美銀、高盛等金融巨頭捍衛軟體

當企業加速把AI導入核心流程，支撐AI應用、雲端服務與關鍵系統的開源軟體，也正成為下一個軟體供應鏈安全戰場。IBM與Red Hat宣布啟動Project Lightwell，將投入50億美元（約合新台幣1,570億元），結合AI技術與超過2萬名軟體工程師，打造企業級開源軟體安全資訊交換中心，協助企業從上游程式開發到生產環境應用，建立更可信任的開源安全防線。

這項計畫的出現，反映AI時代資安攻防速度正在改變。開源軟體早已成為企業數位經濟與AI系統的底層基礎，IBM指出，超過90%的財富500強企業營運仰賴開源軟體。不過，AI技術演進也讓安全漏洞的發現、分類與利用速度同步提升。根據Anthropic近期報告，其Mythos預覽模型僅在開源軟體中，就發現將近3,900個高風險或嚴重漏洞，凸顯企業軟體供應鏈面臨的壓力已快速升高。

過去企業導入開源軟體，多半聚焦開發效率、成本彈性與生態系支援；但隨著AI模型、資料平台、雲原生架構與自動化工具鏈大量建立在開源元件之上，開源軟體安全已不再只是IT團隊的維護工作，而是牽動營運韌性、資料安全與關鍵基礎設施信任的核心課題。

Project Lightwell的定位，並非單純新增一套漏洞掃描工具，而是試圖建立可信任的「開源安全資訊交換中心」。IBM與Red Hat將透過AI技術，協助驗證與測試大規模開源程式碼中的修復程式，並讓企業能把經驗證的安全補丁，直接整合進既有軟體供應鏈與生命週期管理流程。

換言之，Project Lightwell希望補上的，是企業自行管理開源程式碼時最困難的一段缺口：漏洞被發現後，如何判斷嚴重性、確認影響範圍、取得可用補丁、導入生產環境，並在必要時將修復結果回饋至上游開源社群。

IBM與Red Hat表示，Project Lightwell將結合全球工程師團隊，大規模識別、驗證與修補漏洞。企業可在可信任的中介框架下通報機敏安全問題，接收經驗證、可協助生產環境最佳化的補丁，並透過協調機制把修復程序分享至上游，讓開源社群納入長期維護。

這也讓Project Lightwell與一般企業內部資安流程有所不同。它試圖把企業、開源社群與軟體供應鏈串接起來，形成更具制度化的協作模式。對高度依賴開源元件的企業來說，這代表未來面對漏洞時，不必完全仰賴內部團隊各自追蹤、驗證與修補，而能透過更集中的安全協調層，提升修補效率與可信度。 （相關報導： 影子AI成資安破口！IBM報告示警：97%企業未控管，駭客5分鐘就能滲透 ｜ 更多文章 ）

值得注意的是，在許多科技公司以AI降低人力成本、縮減技術團隊規模之際，IBM與Red Hat採取的是另一種策略。兩家公司將部署超過2萬名工程師，並以AI輔助漏洞審查、分類、優先排序、安全修補程式開發、相依性加固與發布工程。這意味AI在Project Lightwell中扮演的角色，不是取代工程師，而是放大工程團隊處理複雜開源安全問題的能力。

Project Lightwell也延續IBM與Red Hat長期布局企業開源的基礎。IBM指出，公司已使用超過62,000個開源軟體包，並對超過10,000個軟體包具備深厚專業知識；IBM與Red Hat也長期在Linux、Java、Kubernetes、Kafka、Ansible、Terraform、Flink、Cassandra等技術領域，經營企業級商業開源生態系。

過去，IBM與Red Hat已為其平台內元件提供生命週期管理、驗證與修補服務。如今Project Lightwell則把這套工程概念延伸到更廣泛的應用領域，包括獨立函式庫、語言工具鏈、AI框架與資料流平台。這對企業而言格外重要，因為現代應用系統往往由大量開源元件堆疊而成，任何一個相依套件出現漏洞，都可能進一步影響應用程式、資料服務甚至AI系統安全。

Project Lightwell目前已有多家企業參與，包括美國銀行、紐約銀行、花旗集團、高盛集團、摩根大通銀行、Visa、萬事達卡、摩根士丹利與加拿大皇家銀行等。金融業率先加入，也凸顯開源軟體安全已從技術議題升級為高監管產業共同面對的營運風險。

對金融機構來說，軟體供應鏈安全不只關係系統穩定，也可能牽動交易安全、支付流程、客戶資料與監管合規。若開源元件出現重大漏洞，影響範圍可能跨越單一系統，擴散至整體服務架構。因此，這些金融機構的早期部署經驗，將有助IBM與Red Hat掌握如何在複雜軟體供應鏈中，大規模識別、驗證與修補漏洞。

IBM董事長暨執行長Arvind Krishna表示，「開源軟體是今日數位經濟的支柱和AI技術的基礎。我們正處於建構、保護和擴展開源技術的轉折點。」他指出，IBM與Red Hat藉由Project Lightwell建立新的產業模式，結合AI、工程專業知識和可信任協作，確保開源軟體從源頭到整個供應鏈的安全，進一步增加全球對支撐商業、政府與社會運作關鍵系統的信心。

從Project Lightwell的設計來看，IBM與Red Hat要處理的不只是單一漏洞修補，而是AI時代企業如何建立可信任軟體供應鏈的問題。當開源軟體已成為AI應用、雲端平台與數位服務的共同底層，企業面對的安全挑戰也從「是否使用開源」轉向「如何安全、可驗證、可持續地使用開源」。 （相關報導： 影子AI成資安破口！IBM報告示警：97%企業未控管，駭客5分鐘就能滲透 ｜ 更多文章 ）

Project Lightwell代表IBM與Red Hat將企業級開源模式進一步推向軟體供應鏈安全領域，並嘗試以AI技術、工程人力與可信任協作機制，建立新的開源安全基礎設施。隨著AI應用加速進入企業核心流程，開源軟體安全也將不再只是後端維護工作，而是企業導入AI、維持系統韌性與建立市場信任的前提。