Anthropic向PSF投资150万美元,以加强Python生态系统特别是PyPI的安全。此举对AI发展至关重要,被认为是明智之举。
译自:Experts Hail Anthropic's $1.5M Python Security Commitment
作者:Darryl K. Taft
Anthropic向Python安全领域投资150万美元,分析师称此举既是出于自身利益,又十分明智,因为它解决了这个为全球AI开发提供支持的语言中的一个关键漏洞。
Python软件基金会 (PSF)昨日宣布,AI安全和研究公司Anthropic将在未来两年内向PSF投资150万美元。
这笔投资将全面支持该基金会,并将特别关注Python生态系统的安全。
Python软件供应链一直受到攻击,以至于PSF已经设立了安全驻场开发者职位。这笔投资将为此提供支持。
基金会表示,Anthropic的资金将使PSF能够在其安全路线图上取得进展,包括旨在保护数百万PyPI用户免受供应链攻击的工作。
“这项投资将使PSF能够在CPython和Python包索引 (PyPI) 的安全方面取得关键进展,造福所有用户,并将维持基金会支持Python语言、生态系统和全球社区的核心工作,”PSF在其博客文章中写道。
回馈社区
Constellation Research的分析师Holger Mueller称这是一项对Python生态系统至关重要的公告。
“看到一家‘富裕’的AI公司对开源项目进行财务资助,这是一个有趣的发展;传统的做法是提供开发资源,”他告诉The New Stack。“人们可能会担心Python[基金会]会成为Anthropic及其他公司的开发部门——但未来会证明一切。”
Forrester Research的分析师Andrew Cornwall表示,这对Python来说是个好消息,也是Anthropic的明智之举。
“太多组织期望使用开源而不回馈,而Python几乎是所有AI的核心,”他告诉The New Stack。
此外,Cornwall指出,Anthropic在生成响应时,大部分Python代码在客户端桌面上运行,在幕后大量运行。
Cornwall说:“通过帮助Python自动检测恶意PyPI包,Anthropic降低了意外生成和运行恶意代码的风险,这些恶意代码可能窃取最终用户的密钥和密码,或者执行用户不希望的其他任务。”“目前尚不清楚这将为CPython带来哪些改进,但我怀疑部分资金也会让CPython,从而让Claude,运行得更快、更安全。”
意义重大,但不要期待立竿见影的改变
“当世界上最重要的AI公司之一投资于社区而不是他们自己的项目时,这是一个强烈的信号,表明Anthropic依赖Python,并希望每个人都能获得最佳的Python体验,”Anaconda的现场首席技术官Steve Croce说,Anaconda被认为是Python、数据科学和AI的黄金标准。“如果没有Python生态系统多年的发展和投入,AI是不可能实现的,所以很高兴看到像Anthropic这样的公司回馈社区。”
然而,Croce补充道:“不要期待立竿见影的改变。”
PSF计划的项目
根据PSF的说法,计划中的项目包括创建新工具,用于对上传到PyPI的所有包进行自动化主动审查,改进当前仅进行被动审查的流程。
PSF在其帖子中表示:“我们打算创建一个已知恶意软件的新数据集,这将使我们能够设计这些新颖的工具,依靠能力分析。”“这个项目的优势之一是,我们期望我们开发出的成果能够转移到所有开源包仓库。因此,这项工作有可能最终改善多个开源生态系统的安全性,从Python生态系统开始。”
基金会表示,此外,Anthropic的投资还将用于PSF的核心工作,包括驻场开发者计划、推动对CPython的贡献、通过资助和其他计划提供社区支持、运行PyPI等核心基础设施等等。
PSF的帖子写道:“这项工作将建立在PSF安全驻场开发者Seth Larson的安全路线图之上,并得到了PyPI安全工程师Mike Fiedler的贡献,这两个职位都得到了Alpha-Omega的慷慨资助。”
与此同时,Forrester的安全分析师Janet Costello Worthington表示,Anthropic对Python生态系统的投资对于在恶意包数量不断增加的情况下增强软件供应链安全至关重要。
“这些进展可以惠及其他生态系统,例如JavaScript的npm,它最近面临了严重的攻击,例如感染了500多个npm包的Shai-Hulud蠕虫,这突显了对更强大、更广泛防御的需求,”Worthington说。“此外,Anthropic的公告将提高开发者社区对安全重要性的认识,并鼓励其他企业投资他们所依赖的开源软件项目。”
赋能AI开发的通用语
同时,The Futurum Group的分析师Brad Shimmin表示,Anthropic的投资是一个明确的信号,表明基础模型制造商认识到Python在AI/机器学习(ML)生态系统中的深厚根基。
“Python不仅仅是启动scikit-learn并构建简单的神经网络来识别字母,”他告诉The New Stack。“远不止如此。Python凭借其固有的性能——许多核心库实际上以C代码执行——以及极其丰富的生态系统,它完美地定位为企业中现代、自主AI的通用语言。”
然而,Shimmin强调,虽然像Java、Go和Rust等其他语言在后端自主工具方面越来越受欢迎,但Python庞大的库生态系统、社区支持以及在各种用户角色中的广泛熟悉程度意味着它很可能仍然是实验和许多生产工作负载的首选。
Shimmin说:“这笔资金只是进一步强化了Python作为AI开发通用语言的地位,尤其是在工具环境持续多样化的情况下。”
与此同时,Croce说,AI的威胁模型与传统软件截然不同。
“作为AI的语言,我们需要Python来应对这些挑战,并在管理新威胁方面达到最有效,”他告诉The New Stack。“扩展我们的社区和PSF的资源将使Python社区能够解决这些挑战。”
