IBM 投入 500 億美元，以 AI 守護開源軟體安全

IBM 與 Red Hat 為 Project Lightwell 投入 500 億美元。該計畫作為一個清算中心，利用前沿 AI 與 20,000 名工程師，在企業軟體供應鏈中識別並修補開源軟體漏洞。

「開源軟體是當今數位經濟的骨幹，也是現代 AI 的基礎，而我們正處於其建構、安全維護與規模化發展的轉折點，」IBM 董事長兼執行長 Arvind Krishna 表示。「透過 Project Lightwell，IBM 與 Red Hat 正在協助定義一種新的產業模式——將 AI、工程專業與可信賴的協作結合在一起——從源頭開始，並在整個供應鏈中確保開源軟體的安全。」

此舉正值 AI 驅動的漏洞發現速度加快之際。Anthropic 的 Mythos Preview 模型單是在開源程式碼中就識別出近 3,900 個高嚴重性或關鍵嚴重性漏洞。根據 IBM 的資料，超過 90% 的財星 500 大企業依賴開源軟體。該清算中心將提供針對已驗證修補程式的商業訂閱、上游揭露協調，以及企業級生命週期管理。

該模式直接挑戰了當前業界利用 AI 減少技術人力的主流趨勢。IBM 反而將工程能力定位為一項策略性資產，部署這支 20,000 人的龐大團隊，負責上游維護、漏洞分類與修補程式開發。早期採用者包括美國銀行、花旗集團、高盛、摩根大通、萬事達卡、摩根士丹利與 Visa——這讓 IBM 能夠從金融業最複雜的軟體環境中獲得真實的回饋。

清算中心模式

Project Lightwell 建立在 IBM 與 Red Hat 既有的企業級開源營運基礎之上。IBM 目前使用超過 62,000 個開源套件，並對其中 10,000 個具備深厚專業知識。該公司管理的技術包括 Linux、Java、Kubernetes、Kafka、Ansible、Terraform、Flink 與 Cassandra——是業界涵蓋範圍最廣的商業開源生態系統之一。這座清算中心將這套紀律延伸到 IBM 自身產品範圍之外，涵蓋獨立函式庫、語言工具鏈、AI 框架與資料串流平台。

透過該清算中心，企業可以回報在其使用中的軟體版本中發現的漏洞，獲得針對生產環境最佳化的修補程式，並協調上游揭露，使開源社群能夠將修復納入長期維護中。該模式借鑒了 Anthropic 的 Project Glasswing 與 OpenAI 的 Trust Access for Cyber 等計畫的經驗，而 IBM 則運用其自主安全方法，保護支撐現代企業與 AI 系統的基礎開源層。

投資影響

對投資人而言，Project Lightwell 釋放出一個訊號：企業安全支出將轉向受管理的開源風險。IBM 實際上正在創造一個新的訂閱類別——開源安全清算中心——這可能從那些已在紅帽訂閱與 IBM 顧問服務上花費的金融機構中產生經常性收入。早期採用者名單以全球系統重要性銀行為主，顯示該產品解決了內部安全團隊長期以來難以獨自解決的痛點。

IBM 股票目前的本益比約為 22 倍（以預期盈餘計算）。這項 500 億美元的承諾分多年攤提，對一家年營收達 620 億美元的公司而言，是一項有意義但可控的賭注。如果清算中心模式獲得市場認可，可能會迫使 Snyk、Sonatype 與 GitHub 的 Dependabot 等競爭對手擴大自身的受管理安全服務。更廣泛的影響是：隨著 AI 加速漏洞發現，確保開源軟體安全的成本正在上升——而企業越來越願意將這類風險外包給具備規模優勢的供應商。

本文僅供資訊參考，不構成投資建議。