Em 17 de março, o Google anunciou que se juntaria a uma série de grandes empresas de tecnologia para realizar uma nova rodada de investimentos em grande escala em segurança de software de código aberto para melhorar a estabilidade e a segurança da comunidade de código aberto. Na sua declaração, o Google descreveu o software de código aberto como “a espinha dorsal da rede moderna” e enfatizou que é crucial garantir a segurança da infraestrutura de código aberto num momento em que as “ameaças impulsionadas pela IA” estão se tornando mais proeminentes.

Como membro fundador do projeto Alpha-Omega da Linux Foundation, o Google disse que comprometerá um total de US$ 12,5 milhões em financiamento com empresas como Amazon, Anthropic, Microsoft/GitHub e OpenAI para “investir ainda mais na estabilidade e segurança da comunidade de código aberto”. Este fundo será gerido pela Alpha-Omega e OpenSSF e será utilizado principalmente para ajudar os mantenedores de projetos de código aberto a lidar com a nova geração de ameaças à segurança impulsionadas pela IA, a passar da simples descoberta de vulnerabilidades para as reparações reais e a colocar ferramentas de segurança mais avançadas diretamente nas mãos dos mantenedores, transformando assim enormes descobertas de segurança geradas pela IA em ações rapidamente executáveis.

Ao falar sobre “descobertas de segurança geradas por IA”, o Google mencionou especificamente os resultados de suas ferramentas internas de agente de segurança de IA. Já em julho de 2025, o agente de IA do Google, Big Sleep, descobriu e bloqueou uma vulnerabilidade SQLite de dia zero explorada antes que hackers black hat pudessem transformá-la em uma arma. Nos meses seguintes, o Google lançou discretamente um agente de IA chamado "CodeMender", que pode não apenas marcar falhas de segurança, mas também reescrever automaticamente o código para concluir o trabalho de correção. O Google disse que ferramentas como Big Sleep e CodeMender “demonstram o potencial transformador da IA ​​na proteção do ecossistema de código aberto mais amplo”.

O pano de fundo desta rodada de financiamento é que os mantenedores de um grande número de projetos importantes de código aberto estão sofrendo de “fadiga de alerta”. Em projetos populares como Python e React, os mantenedores enfrentam milhares de relatórios de vulnerabilidade gerados automaticamente pela IA todos os dias, o que consome energia e é extremamente difícil de avaliar quanto à qualidade. Alguns projetos foram forçados a ajustar suas estratégias. Por exemplo, a ferramenta de rede amplamente utilizada cURL optou por encerrar o programa de recompensas por bugs depois que seus mantenedores foram inundados com "relatórios indesejados" de IA de baixa qualidade que eram suspeitos de serem gerados para recompensas há muito tempo, tentando cortar os incentivos econômicos para que atores mal-intencionados enviassem relatórios inválidos na fonte.

O compromisso financeiro do Google, lançado por vários gigantes da tecnologia, tem como objetivo fornecer um suporte mais direto e sustentável para essas equipes de manutenção de código aberto que estão sob tremenda pressão. Do ponto de vista da indústria, isto não é apenas uma espécie de "feedback" para a infra-estrutura de código aberto da qual os grandes fabricantes de nuvem e IA são altamente dependentes, mas também uma tentativa de evitar que todo o ecossistema de código aberto seja desequilibrado pela enxurrada de alarmes e pressão de segurança depois que a IA traz testes automatizados e capacidades de escavação sem precedentes.