IBM与Red Hat承诺投入50亿美元

IBM与红帽（Red Hat）近日正式宣布启动Project Lightwell计划，承诺投入50亿美元，依托前沿AI能力及超过2万名工程师的全球团队，全力保障企业开源软件安全。这是迄今为止企业界对开源软件供应链安全最大规模的单笔投资，标志着开源安全从被动响应正式迈向主动防御的新阶段。

开源软件已成为现代企业IT基础设施的绝对基石。超过90%的《财富》500强企业在其运营中深度依赖开源代码，IBM自身便在使用超过62000个开源软件包，并对其中1万多个拥有深厚的专业知识。然而，开源安全问题已有大量记录在案：仅2025年就发布了近5万个通用漏洞与暴露（CVE）。更令人警醒的是，Anthropic旗下由Mythos Preview模型驱动的Project Glasswing，在上线不久后便在开源软件中发现了约3900个此前未被记录的高危或严重级别漏洞。

AI技术的进步在加速漏洞发现的同时，也让攻击者能更高效地定位并利用供应链薄弱环节。正如红帽高级副总裁兼首席产品官Ashesh Badani所言："AI工具的进步打破了传统的补丁路线图。所有人都在运行开源软件，而问题在于无法足够快速地修复漏洞。"

Project Lightwell的核心是构建一个可信的"企业级开源软件清算中心"（clearinghouse），作为由AI驱动的安全协调层，实现规模化的漏洞识别与修复。该平台将利用前沿AI能力对海量开源代码进行验证和测试修复方案，并通过商业订阅模式提供服务，帮助企业将安全补丁直接集成到现有软件供应链中，获得企业级的验证和生命周期管理支持。

这一模式直击企业在自行管理独立开源代码时面临的运维困境。企业可在可信的"安全中间方模式"框架内，以负责任的方式分享其活跃软件版本中的敏感安全问题，并接收针对生产环境优化的补丁——涵盖红帽产品及独立社区代码。更关键的是，修复成果将通过"安全映射"机制回馈上游开源社区，形成从发现到修复再到回馈的完整闭环。Badani强调："我们希望确保通过清算中心提供给企业的任何修复方案，最终也能回流到开发该代码的开源社区。"

Project Lightwell在技术实现上有一个显著特点：无需升级或访问源代码。它基于pom.xml等基础配置清单运行，针对已完成测试和部署的确切依赖版本进行补丁回移，确保在推出已修复的构建制品时，代码始终保留在受控的企业环境中。这意味着企业可以在不影响系统稳定性、认证状态或合规要求的前提下完成修复。

初期，Project Lightwell将聚焦于Java/Maven生态，后续计划逐步扩展至PyPI、npm、Go等更多主流开源生态系统。同时，它将把IBM和红帽在Linux、Kubernetes、Kafka、Terraform、Ansible、Flink、Cassandra等平台上积累的工程原则，延伸应用于更广泛的AI框架、独立库、语言工具链和数据流平台。

在许多科技公司借AI精简技术团队的当下，IBM与红帽选择了截然不同的路径——将技术工程能力定位为重要的战略资产和竞争优势。2万名工程师将从IBM与红帽现有人才储备中抽调，并视需要扩充规模，辅以领先的AI能力，覆盖开源软件供应链的上游和企业环境。

Badani明确表示："AI工具与人类知识和专业经验的结合所带来的效果，优于单独使用任何一方。"工程师团队将与主要开源贡献者协作，打通上下游环境，开发补丁，执行大规模漏洞审查与分类，以及依赖项加固工作。50亿美元将用于为团队配备AI工具，并建设内部运营基础设施。

Project Lightwell已与11家金融机构共同进入设计阶段，早期采用伙伴包括美国银行、纽约梅隆银行、花旗集团、高盛、摩根大通、万事达卡、摩根士丹利、加拿大皇家银行、道富银行、Visa和富国银行。这些高度依赖开源技术构建核心交易与风控系统的金融巨头，将为项目在复杂企业环境中的有效性提供宝贵验证。

据披露，该项目自宣布以来已收到"大量涌入的合作请求"。IBM首席执行官Arvind Krishna指出："开源技术是当今数字经济的支柱和现代AI的基础，我们正处于其构建、保护和规模化应用的关键转折点。通过Project Lightwell，IBM和红帽正在定义一种新的行业模式——融合AI、软件工程专长和可信赖的协作，从源头开始保护开源软件的完整供应链。"

Beauceron Security的David Shipley则从更宏观的视角发出警告："依靠志愿者支撑数万亿美元财富的时代已随Mythos的出现戛然而止，开源领域的账单终究还是到了该结清的时候。企业必须选择投入，否则将面临失去这一生态的风险。"

Project Lightwell不是对现有安全工具的替代，而是作为供应链层面的统一协调层，与CI/CD流水线、容器编排系统及SBOM管理工具深度集成，形成端到端的防护链路。当AI让漏洞发现变得前所未有地容易，谁能最快地完成修复并回馈生态，谁就掌握了开源安全的下一个制高点。