IBM、Red Hat 投入 50 億美元守護開源 AI 安全
IBM 與 Red Hat 推出 Project Lightwell,砸 50 億美元把 AI 用在開源安全、漏洞驗證與修補分發,先從企業供應鏈下手。
IBM 與 Red Hat 在 2026 年 5 月 28 日宣布投入 50 億美元,啟動 Project Lightwell,用 AI 強化開源軟體安全。
這項計畫鎖定企業供應鏈中的開源風險,主打漏洞回報、驗證修補與上游回補。IBM 同時拉進超過 2 萬名工程師,並建立一個企業級清算中心,讓敏感安全問題能先經由中介處理。
| 項目 | 數值 |
|---|---|
| 投入金額 | 50 億美元 |
| 宣布日期 | 2026 年 5 月 28 日 |
| 工程師規模 | 超過 20,000 人 |
| Fortune 500 對 OSS 依賴 | 超過 90% |
| Anthropic Mythos Preview 找出漏洞 | 近 3,900 個 |
發生了什麼
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
Project Lightwell 的定位很直接:把開源安全變成可交付的企業服務。IBM 表示,企業可以先把敏感漏洞交給中介,再拿到可直接上線的修補版本,最後把修正推回社群維護流程。
這種做法和傳統「自己找人修、自己驗證、自己上線」的模式不同。對大型企業來說,它把漏洞處理拆成三段,降低內部安全團隊與維運團隊的協調成本,也減少修補在生產環境翻車的機率。
計畫不只涵蓋 Red Hat 產品,也會處理社群維護的獨立程式碼,範圍包括函式庫、語言工具鏈、AI 框架與資料串流平台。IBM 也強調,自己已經在使用超過 62,000 個開源套件,對其中 10,000 多個有深入經驗,這次要把既有能力包成商業化流程。
- AI 輔助的漏洞審查、分類與優先順序判定
- 安全修補開發與相依套件加固
- 面向企業環境的版本工程與驗證
- 可訂閱的修補驗證與生命週期管理
IBM 也點名多家早期試用者,包含 Bank of America、BNY、Citi、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、State Street、Visa 與 Wells Fargo。這些金融機構會先測試系統如何辨識、驗證與修復問題,再決定是否擴大導入。
為什麼重要
開源已經是企業基礎設施的底層,但 AI 工具也讓找漏洞、挖相依風險變得更快。IBM 的賣點是,把「發現問題」和「拿到可信修補」之間的時間壓縮,讓企業不用自己從零搭一條安全生產線。
對開發者來說,這代表開源維護不再只是社群義務,也可能變成一個更明確的商業服務層。對產業來說,開源安全開始像雲端、監控、身分管理一樣,成為企業願意付費的標準項目。
另一個現實是規模。Fortune 500 有超過 90% 依賴開源,這種依賴不是單一漏洞事件可以解決,而是要有持續驗證、快速回補、上游協作的機制。Lightwell 若跑得通,會把「修漏洞」從零散任務變成可複製流程。
IBM 執行長 Arvind Krishna 把這次行動形容為開源建構與保護方式的轉折點。更尖銳的問題是:企業會把它當成一次性安全採購,還是把它視為未來關鍵開源資產的標準維護模板?