Los modelos de lenguaje pueden escanear codebases enormes y encontrar bugs explotables en minutos. Eso cambia el ritmo al que aparecen vulnerabilidades en proyectos open source, y la Linux Foundation ha decidido responder con Akrites, anunciado el 25 de junio de 2026.
Qué es Akrites
Akrites establece dos cosas concretas: un Security Incident Response Team (SIRT) compartido y un proceso unificado de Coordinated Vulnerability Disclosure (CVD) construido sobre principios de confidencialidad primero. La idea es que los mantenedores de proyectos open source tengan un único punto de contacto fiable en lugar de recibir una avalancha de informes descoordinados cuando un LLM encuentra un fallo en su código.
Alpha-Omega, un fondo dirigido de la Linux Foundation, aporta la financiación inicial.
Quién lo respalda
Los compromisos fundacionales vienen de Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft y GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone y Zscaler. No es un grupo pequeño ni marginal: son las mismas organizaciones que dependen del software open source que Akrites busca proteger.
El problema de fondo
Antes de Akrites, el flujo habitual cuando un investigador encontraba una vulnerabilidad era reportarla al mantenedor del proyecto de forma individual, con todo lo que eso implica: tiempos variables, parches descoordinados entre proyectos que comparten código y el riesgo de divulgación pública antes de que el fix esté listo.
Con LLMs que pueden analizar un repositorio completo en minutos, ese modelo se rompe. La velocidad de descubrimiento de vulnerabilidades ha aumentado de forma asimétrica respecto a la velocidad de respuesta de los equipos de mantenimiento. Akrites busca equilibrar eso poniendo el peso de la coordinación en un equipo especializado en lugar de en cada mantenedor por separado.
Lo que no resuelve
Akrites no reemplaza los programas de bug bounty existentes ni cambia cómo funcionan los proyectos individualmente. Es una capa de coordinación encima de los procesos que ya existen. Que funcione en la práctica dependerá de que los investigadores que usan IA para encontrar vulnerabilidades elijan reportar a través de Akrites en lugar de ir directamente a cada proyecto o, peor, publicar antes de que haya parche.
Imagen: Pexels / Markus Spiske