IBM и Red Hat объявили Project Lightwell — $5 млрд и 20 000 инженеров для защиты open‑source с помощью ИИ

IBM и Red Hat запустили Project Lightwell — масштабную программу по защите критичных open‑source компонентов с планируемыми инвестициями примерно в $5 миллиардов и мобилизацией до 20 000 инженеров. Проект обещает применять фронтир‑классовые ИИ‑модели и инструменты для системного обнаружения, приоритизации и исправления уязвимостей, что имеет прямое значение для предприятий, зависящих от библиотек и сервисов с открытым исходным кодом.

В операционной модели Lightwell предприятия передают сведения о том, какие open‑source компоненты и версии используются в их инфраструктуре; инженеры IBM и Red Hat затем используют ИИ для поиска дефектов, их приоритизации и подготовки патчей. После этого команда сотрудничает с upstream‑поддержкой проектов для слияния и релиза исправлений. Проект включает функции масштабного обнаружения уязвимостей, триажа, разработки патчей, бэпортинга и долгосрочной поддержки специфичных версий, реально задеплоенных у клиентов.

Инициатива объявлена на фоне резкого роста объёма отчётов об уязвимостях и перегрузки мейнтейнеров. Основатель и мейнтейнер cURL Дэниел Стайнберг заявил, что «скорость входящих отчётов по безопасности в четыре‑пять раз выше, чем в 2024 году, и вдвое быстрее, чем в 2025‑м», и предупредил о приближении выгорания поддержки проектов. Параллельно модель Mythos Preview от Anthropic за несколько недель выявила почти 3 900 серьёзных уязвимостей в open‑source, что подчёркивает масштаб и срочность проблемы.

IBM и Red Hat подчёркивают, что Lightwell не позиционируется как очередной баг‑баунти или простой сервис сканирования кода, а как доверенный «перекрёсток» между предприятиями и upstream‑сообществами. Компании указывают, что не будут выплачивать вознаграждения поддерживающим разработчикам upstream; вместо этого они предоставят собственных инженеров и ИИ‑инструменты для непосредственной работы над критичными проектами и ускорения интеграции исправлений. остаются значимые вопросы по операционным и коммерческим аспектам. Пока не раскрыты сроки развёртывания инвестиций, структура подписной модели сервиса, критерии приоритизации проектов и механика взаимодействия с независимыми мейнтейнерами. Это создаёт неопределённость для предприятий, рассчитывающих на долгосрочную поддержку конкретных версий и на прозрачные условия финансирования работ с upstream.

Практические риски проекта связаны с необходимостью тесной координации с upstream‑сообществами и дисциплиной масштабной инженерной работы: патчи должны не только разрабатываться, но и приниматься, сливаться и распространяться через привычные для экосистемы каналы. IBM и Red Hat обещают развёртывание инвестиций «в ближайшие годы», однако детали коммерческих условий и модель финансирования поддержки сообществ пока не опубликованы.