Łatka na produkcji bez przerywania produkcji. Co IBM i Red Hat odpowiedzieli na vulnpocalypse pięcioma miliardami dolarów

Anthropic w aktualizacji Project Glasswing napisało wprost: "Postęp w bezpieczeństwie oprogramowania był kiedyś ograniczony przez to jak szybko mogliśmy znajdować podatności. Teraz jest ograniczony przez to jak szybko możemy weryfikować, ujawniać i łatać dużą liczbę podatności znalezionych przez AI." The Hacker News

28 maja IBM i Red Hat odpowiedzieli na to zdanie ogłoszeniem Project Lightwell. Pięć miliardów dolarów, ponad 20 000 inżynierów, nowy model biznesowy dla bezpieczeństwa oprogramowania open source.

Centralny problem który Project Lightwell próbuje rozwiązać: naprawianie podatności bez niszczenia tego co już działa na produkcji. Mean CEO's BLOG

To jest problem który vulnpocalypse opisał w liczbach: Palo Alto 75 CVE w pięć tygodni, Mozilla 423 poprawki w jednym cyklu, MDASH Microsoftu 16 podatności w jeden Patch Tuesday. AI odkrywa szybciej niż organizacje mogą łatać — bo łatanie w enterprise wymaga testowania, certyfikacji, change management, i gwarancji że produkcja nie przestanie działać.

Mechanizm który jest nowy

Kluczowa innowacja Project Lightwell nie jest w odkrywaniu — jest w dostarczaniu łatek.

Gdy podatność jest zidentyfikowana, Project Lightwell backportuje poprawki do dokładnie tych wersji zależności które są już przetestowane i wdrożone na produkcji — dostarczając załatane artefakty bez konieczności aktualizacji. Mean CEO's BLOG

To brzmi technicznie, ale ma bardzo konkretne znaczenie operacyjne. Typowy problem z łataniem w dużej organizacji: biblioteka ma podatność w wersji 2.3.1 którą używasz, łatka jest w wersji 2.4.0 — ale aktualizacja do 2.4.0 wymaga testów regresji, walidacji, certyfikacji. W regulowanych branżach — finansach, zdrowiu, energetyce — to są tygodnie lub miesiące.

Project Lightwell nie wymaga dostępu do kodu źródłowego. Operuje na manifestach zależności takich jak pom.xml — kod aplikacji pozostaje w całości w środowisku klienta, a załatane artefakty są dostarczane do repozytoriów które klient kontroluje. Mean CEO's BLOG

Innymi słowami: IBM i Red Hat biorą wersję którą już masz, backportują do niej poprawkę, testują i dostarczają. Bez upgrade'u, bez ryzyka regresji, bez miesięcy certyfikacji.

Banki jako pierwsi odbiorcy

IBM i Red Hat pilotowali Project Lightwell z Bank of America, JPMorgan Chase i Visa. Inni uczestnicy pilotażu to BNY, Citi, Goldman Sachs, Mastercard i Morgan Stanley. Royal Bank of Canada, State Street i Wells Fargo są również zaangażowane. Bleeping Computer

To nie jest przypadkowa lista. Sektor finansowy ma największy problem z backportowaniem — regulatorzy wymagają certyfikacji każdej wersji oprogramowania, zmiana wersji biblioteki to projekt, nie operacja. Jednocześnie SEC i regulatorzy finansowi traktują ekspozycję na podatności jako materialne ryzyko operacyjne.

Dla tych organizacji backport zamiast upgrade'u to rozwiązanie które zmienia kalkulację: zamiast miesięcy pracy nad certyfikacją nowej wersji — kilkudniowy cykl walidacji zbackportowanej poprawki.

Glasswing jako punkt wyjścia

IBM cytuje pracę Anthropic z Project Glasswing, mówiąc że model Mythos Preview zidentyfikował prawie 3 900 podatności wysokiego lub krytycznego poziomu w oprogramowaniu open source. Bleeping Computer

To jest bezpośrednie połączenie z tym co opisywaliśmy w aktualizacji Glasswing. Glasswing przesunął wąskie gardło z odkrywania na naprawianie. Project Lightwell próbuje odpowiedzieć na tę drugą połowę problemu — być industrialną fabryką łatek dla podatności które AI coraz szybciej znajduje.

IBM szacuje że publicznie ujawnione podatności oprogramowania mogą osiągnąć do 59 000 w 2026 roku, powołując się na dane CVE.org. Ponad 90% firm z listy Fortune 500 polega na oprogramowaniu open source. IBM sam używa ponad 62 000 pakietów open source. Skala problemu który Project Lightwell próbuje adresować jest dokładnie ta którą vulnpocalypse opisał przez liczby. Bleeping Computer

Pytanie które IBM nie chce zadawać głośno

Jest jedno napięcie w modelu Project Lightwell które Shashi Blog opisuje precyzyjnie — i które warto opisać wprost.

Project Lightwell pozycjonuje IBM i Red Hat jako industrialną fabrykę łatek której ekosystem obecnie brakuje. Model jest komercyjny: przedsiębiorstwa subskrybują żeby zintegrować walidowane łatki bezpośrednio w swoich łańcuchach dostaw oprogramowania. The Hacker News

Komercyjny model subskrypcyjny wprowadza pytanie o kolejność dostępu: kto dostaje łatkę najpierw — płacący subskrybenci czy szersza społeczność open source?

Zanim zobowiążesz się do modelu subskrypcyjnego Project Lightwell, zapytaj IBM i Red Hat o konkretny termin między momentem gdy łatka jest walidowana dla płacących subskrybentów a momentem gdy jest wydana upstream dla szerszej społeczności. Jeśli to okno jest nieokreślone — nie kupujesz szybszego bezpieczeństwa. Kupujesz priorytetowy dostęp do luki którą twoi dostawcy kontrolują. The Hacker News

IBM zapowiada "zaufaną pośrednią strukturę" dla koordynacji ujawnień z opiekunami projektów open source. Ale szczegóły harmonogramów nie zostały ujawnione — co jest właśnie tym pytaniem które każda organizacja rozważająca subskrypcję powinna zadać zanim podpisze umowę.

Połączenie z tym co opisywaliśmy przez maj

Project Lightwell jest odpowiedzią na cykl który cyberflux śledził przez cały miesiąc: GTIG dokumentuje pierwszy AI zero-day, Glasswing znajduje 10 000 podatności, vulnpocalypse pokazuje że odkrywanie szybuje a naprawianie nie nadąża, CERT-In wprowadza 12-godzinne okno łatania jako regulacyjną odpowiedź na AI-wspomaganą eksploitację.

Każdy z tych tematów opisywał połowę problemu — albo odkrywanie, albo brak infrastruktury do naprawiania. Hakrzy coraz częściej celują w oprogramowanie open source w miarę jak jego znaczenie dla globalnego stosu technologicznego staje się bardziej oczywiste. Ta aktywność eksploitacyjna uwydatnia słabości ekosystemu open source, w którym głównie wolontariusze-deweloperzy walczą żeby nadążyć za zgłoszeniami podatności — problem który AI-wspomagane odkrywanie podatności dramatycznie pogłębiło. The Hacker News

Project Lightwell jest pierwszą strukturalną odpowiedzią od podmiotu z wystarczającą skalą — 20 000 inżynierów, 5 miliardów dolarów — żeby potencjalnie zmienić tę równanie. Czy zmieni? To zależy od tego jak szybko onboarduje projekty poza Maven/Java, jak rozwiąże pytanie o sekwencję dostępu między subskrybentami a społecznością, i czy modele AI które używa do walidacji będą nadążać za tempem odkrywania które te same modele generują po drugiej stronie.

Źródła

IBM / Red Hat — oficjalny komunikat prasowy: https://www.redhat.com/en/about/press-releases/project-lightwell-secure-open-source

SecurityWeek — omówienie z detalami clearinghouse: https://www.securityweek.com/ibm-and-red-hat-commit-5-billion-to-secure-open-source-supply-chains-under-project-lightwell/

Cybersecurity Dive — szczegóły pilotażu z bankami i model operacyjny: https://www.cybersecuritydive.com/news/ibm-open-source-security-ai-project-lightwell/821348/

Shashi Blog — analiza pytania o sekwencję dostępu i co naprawdę kupujesz: https://www.shashi.co/2026/05/ibm-and-red-hats-5b-project-lightwell.html

Developer-tech — szczegóły mechanizmu backportu i połączenie z Glasswing: https://www.developer-tech.com/news/ibm-red-hat-open-source-security-project-lightwell/