Google og rivalerne lægger 12,5 mio. dollar i open source-sikkerhed, fordi AI nu finder flere sårbarheder end mennesker kan lukke

AI er begyndt at ændre cybersikkerhed på en måde, som er mere konkret end de fleste keynote-præsentationer giver indtryk af. Det interessante lige nu er ikke endnu en chatbot med flere knapper, men at de største AI-aktører pludselig investerer i open source-sikkerhed, fordi selve softwareforsyningskæden er blevet sværere at beskytte. Google har netop annonceret en ny satsning på området, og pointen er værd at hæfte sig ved: Når AI kan finde sårbarheder hurtigere, skal nogen også kunne triagere, validere og rette dem hurtigere.

Konkret skriver Google, at selskabet sammen med Anthropic, AWS, GitHub, Microsoft, OpenAI og Google DeepMind indgår i en samlet finansiering på 12,5 millioner dollar til Linux Foundations sikkerhedsinitiativer Alpha-Omega og OpenSSF. Ifølge Linux Foundation skal pengene bruges til langsigtede og mere bæredygtige løsninger til open source-miljøet, hvor maintainere i stigende grad drukner i automatiserede sikkerhedsfund. Det gør nyheden vigtig, fordi den peger på et reelt driftsproblem, ikke bare et brandingprojekt.

Hvis du følger AI-feltet tæt, er det heller ikke helt ude af trit med andre bevægelser i markedet. Jeg skrev for nylig om Anthropics Project Glasswing, som også handler om at bruge mere kraftfuld AI defensivt. Og i en lidt anden ende af spektret ser vi værktøjer, hvor agentisk udvikling rykker tættere på hverdagsarbejdet, som i mit indlæg om Googles Agent Smith. Fællesnævneren er, at AI ikke længere kun er et tekstværktøj. Den er ved at blive en operativ del af softwarearbejdet.

Hvorfor open source-sikkerhed pludselig er blevet en AI-historie

Open source er fundament under en stor del af internettet, cloud-platforme og virksomhedssoftware. Problemet er, at meget af det vedligeholdes af små teams eller enkeltpersoner, mens resten af verden bygger videre ovenpå. Det har været et kendt problem i årevis, men AI har ændret tempoet. Linux Foundation skriver direkte, at fremskridt i AI markant øger hastigheden og skalaen i opdagelsen af sårbarheder i open source-software. Maintainerne bliver derfor mødt af en bølge af sikkerhedsrapporter, mange genereret automatisk, uden at de nødvendigvis har værktøjerne til at vurdere, prioritere og afhjælpe dem.

Det er en vigtig nuance. AI gør ikke automatisk software mere sikker. Den kan lige så let skabe mere støj. En model kan finde hundredvis af potentielle problemer, men hvis halvdelen er irrelevante, mangler kontekst eller ikke kommer med et brugbart patch, er resultatet bare mere arbejde for de mennesker, der i forvejen er pressede. Derfor er den nye investering i open source-sikkerhed interessant: Den handler ikke kun om at opdage fejl hurtigere, men om at få hele kæden fra fund til rettelse til at fungere bedre.

Set fra et drifts- og arkitekturperspektiv er det også helt logisk. I dag er software supply chain-sikkerhed blevet et ledelsesproblem, ikke kun et udviklerproblem. Hvis dine afhængigheder bliver usikre, bliver dine systemer det også. Derfor giver det mening, at store aktører med egne AI-modeller nu investerer i de åbne projekter, de selv er afhængige af.

Google vil ikke kun finde sårbarheder, men også hjælpe med at lukke dem

Googles blogindlæg gør det ret klart, hvad virksomheden ser som næste skridt. Her nævnes blandt andet Big Sleep og CodeMender, to AI-baserede sikkerhedsværktøjer fra Google DeepMind. Ifølge Google har de allerede vist, at AI kan hjælpe med at finde og rette dybe, udnyttelige sårbarheder i komplekse systemer. I den mere detaljerede præsentation af CodeMender fra oktober 2025 skrev DeepMind, at værktøjet over seks måneder allerede havde bidraget med 72 sikkerhedsrettelser til open source-projekter.

Det tal er interessant, men det vigtigste er faktisk arbejdsformen. DeepMind understreger, at patches stadig gennemgås af mennesker, før de sendes upstream. Det er sundt. I sikkerhedsarbejde er en halvgod automatisk rettelse ofte farligere end ingen rettelse, fordi den kan skabe falsk tryghed eller introducere regressioner. Hvis AI skal bruges seriøst i sikkerhedsarbejde, skal den derfor indgå i et kontrolleret workflow med validering, test og ansvarlige maintainere i løkken.

Det er netop her, den aktuelle nyhed bliver mere spændende end endnu en modelbenchmark. Den peger mod en fremtid, hvor AI i stigende grad bliver et værktøj til triage, patchforslag, kodegennemgang og måske automatiseret verifikation, mens mennesker tager den endelige beslutning. For udviklere og it-chefer er det en mere moden historie end idéen om, at en agent bare overtager hele sikkerhedsarbejdet.

Hvad betyder det for udviklere og it-afdelinger?

På kort sigt betyder det først og fremmest, at open source-sikkerhed bliver en mere aktiv del af AI-kapløbet. Det bør få virksomheder til at stille lidt skarpere spørgsmål til deres egne værktøjer og processer. Kan jeres udviklingsmiljø håndtere en strøm af AI-genererede fund? Har I en proces for at skelne mellem reelle sårbarheder og støj? Kan jeres CI/CD-kæde validere patchforslag automatisk, eller lander arbejdet stadig som manuelt brandslukningsarbejde hos de samme få mennesker?

På lidt længere sigt kan vi meget vel se, at de mest værdifulde sikkerhedsværktøjer ikke bliver dem, der finder flest fejl, men dem der reducerer vedligeholdelsesbyrden for maintainere og interne platformteams. Hvis AI kan hjælpe med at forklare en sårbarhed, foreslå en patch, teste for regressioner og dokumentere ændringen ordentligt, begynder det at ligne reel produktivitetsforbedring. Hvis den bare genererer flere alarmer, er vi ikke kommet særlig langt.

Derfor er denne investering værd at følge. Den er lille i forhold til de milliardbeløb, der ellers kastes rundt i AI-industrien, men den rammer et område, som faktisk betyder noget for stabil drift. 12,5 millioner dollar flytter ikke alene verden, men signalet er stærkt: De virksomheder, der bygger de mest avancerede AI-systemer, er også begyndt at indrømme, at infrastrukturen under dem skal styrkes. Og det er måske den mest jordnære og nyttige AI-nyhed i denne uge.