A medida que las empresas aceleran la implementación de LLM y flujos de trabajo agentes, se topan con un cuello de botella crítico en la infraestructura: las imágenes cojín de contenedores que impulsan estas aplicaciones están plagadas de deudas de seguridad heredadas.

Ecouna startup israelí, anuncia hoy una financiación Serie A de 35 millones de dólares (lo que eleva su total hasta la data a 50 millones de dólares en financiación) para solucionar este problema reinventando fundamentalmente cómo se construye la infraestructura de la nubarrón.

La ronda fue liderada por N47, con la décimo de Sobresaliente Renta, Hyperwise Ventures y SentinelOne. Pero la verdadera historia no es el haber: es el codicioso objetivo de la compañía de reemplazar la caótica prisión de suministro de código amplio con una prisión de suministro administrada y "seguro por diseño" Sistema operante.

El sistema operante oculto de la nubarrón

Para entender por qué es importante Echo, primero hay que entender la cojín invisible de la Internet moderna: las imágenes cojín de contenedores.

Piensa en un "recipiente" como una caja de remesa para software. Contiene el código de la aplicación (lo que escriben los desarrolladores) y todo lo que ese código necesita para ejecutarse (el "imagen cojín"). Para una audiencia no técnica, la mejor guisa de entender una imagen cojín es compararla con una computadora portátil nueva. Cuando compras una computadora, viene con un sistema operante (SO) como Windows o macOS preinstalado para manejar los aspectos básicos: musitar con el disco duro, conectarse a Wi-Fi y ejecutar programas. Sin él, la computadora es inútil.

En la nubarrón, la imagen cojín es ese Sistema Eficaz. Ya sea que una empresa como Netflix o Uber esté creando una aplicación web simple o una red compleja de agentes autónomos de IA, dependen de estas capas prediseñadas (como Alpine, Python o Node.js) para aclarar los tiempos de ejecución y las dependencias subyacentes.

Aquí es donde comienza el aventura. A diferencia de Windows o macOS, mantenidos por gigantes tecnológicos, la mayoría de las imágenes cojín son de código amplio y creadas por comunidades de voluntarios. Adecuado a que están diseñados para ser bártulos para todos, a menudo están llenos de "inflar"—Cientos de herramientas y configuraciones adicionales que la mayoría de las empresas en efectividad no necesitan.

Eylam Milner, director tecnológico de Echo, utiliza una cruda semejanza para explicar por qué esto es peligroso: "Tomar software solo del mundo de código amplio es como tomar una computadora que se encuentra en la reborde y conectarla a su (red)."

Tradicionalmente, las empresas intentan solucionar este problema descargando la imagen, escaneándola en escudriñamiento de errores e intentando corregirla. "parche" los agujeros. Pero es una batalla perdida. La investigación de Echo indica que las imágenes oficiales de Docker a menudo contienen más de 1000 vulnerabilidades conocidas (CVE) en el momento en que se descargan. Para los equipos de seguridad empresarial, esto crea un engranaje inasequible de "qué-un-mole," heredando deuda de infraestructura ayer de que sus ingenieros escriban una sola recorrido de código.

El "Linux empresarial" Momento para la IA

Para Eilon Elhadad, cofundador y director ejecutante de Echo, la industria está repitiendo la historia. "Exactamente lo que sucedió en el pasado… todos ejecutan Linux y luego pasan a Enterprise Linux," Elhadad le dijo a VentureBeat. Así como Red Hat profesionalizó Linux de código amplio para el mundo corporativo, Echo aspira a ser el "SO nativo de IA empresarial"—Una cojín sólida y curada para la era de la IA.

"Nos vemos en la era nativa de la IA, la cojín de todo," dice Elhadad.

La tecnología: una "Taller de compilación de software"

Echo no es una útil de escaneo. No escudriñamiento vulnerabilidades a posteriori. En cambio, funciona como un "factoría de compilación de software" que reconstruye imágenes desde cero.

Según Milner, el enfoque de Echo para eliminar vulnerabilidades se zócalo en un riguroso proceso de ingeniería de dos pasos para cada carga de trabajo:

1. Compilación de la fuente: Echo comienza con un cuadro infructifero. No parchea imágenes infladas existentes; compila binarios y bibliotecas directamente desde el código fuente. Esto garantiza que solo se incluyan los componentes esenciales, lo que reduce drásticamente la superficie de ataque.

2. Endurecimiento y procedencia (SLSA Nivel 3): Las imágenes resultantes se refuerzan con configuraciones de seguridad agresivas para dificultar la explotación. Fundamentalmente, el proceso de compilación cumple con los estándares SLSA Nivel 3 (Niveles de la prisión de suministro para artefactos de software), lo que garantiza que cada artefacto esté firmado, probado y verificable.

El resultado es un "reemplazo directo." Un desarrollador simplemente cambia una recorrido en su Dockerfile para que apunte al registro de Echo. La aplicación se ejecuta de guisa idéntica, pero la capa subyacente del sistema operante es matemáticamente más limpia y exento de CVE conocidos.

IA defendiéndose contra la IA

La requisito de este nivel de higiene está siendo impulsada por la "IA contra ti" carrera armamentista de seguridad. Los delincuentes utilizan cada vez más la IA para comprimir ventanas de explotación de semanas a días. Simultáneamente, "agentes codificadores"Las herramientas de inteligencia sintético que escriben software de forma autónoma se están convirtiendo en los generadores de código número uno, y a menudo seleccionan estadísticamente bibliotecas obsoletas o vulnerables de código amplio.

Para contrarrestar esto, Echo ha creado una infraestructura patentada de agentes de inteligencia sintético que gestionan de forma autónoma la investigación de vulnerabilidades.

• Monitoreo continuo: Los agentes de Echo monitorean mensualmente los más de 4000 nuevos CVE agregados a la Colchoneta de datos franquista de vulnerabilidad (NVD).

• Investigación no estructurada: Más allá de las bases de datos oficiales, estos agentes rastrean fuentes no estructuradas como comentarios de GitHub y foros de desarrolladores para identificar parches ayer de que se publiquen ampliamente.

• Autosanación: Cuando se confirma una vulnerabilidad, los agentes identifican las imágenes afectadas, aplican la posibilidad, ejecutan pruebas de compatibilidad y generan una solicitud de procedencia para revisión humana.

Esta automatización permite al equipo de ingeniería de Echo amparar más de 600 imágenes seguras, una escalera que tradicionalmente requeriría cientos de investigadores de seguridad.

Por qué es importante para el CISO

Para quienes toman decisiones técnicas, Echo representa un cambio desde "tiempo medio para la remediación" a "cero vulnerabilidades por defecto."

Dan García, CISO de EDB, señaló en un comunicado de prensa que la plataforma "ahorra al menos 235 horas de desarrollador por extensión" eliminando la requisito de que los ingenieros investiguen falsos positivos o parcheen imágenes cojín manualmente.

Echo ya está asegurando cargas de trabajo de producción para empresas importantes como UiPath, EDB y Varonis. A medida que las empresas pasan de contenedores a flujos de trabajo agentes, la capacidad de esperar en la infraestructura subyacente (sin administrarla) puede ser la característica definitoria de la próxima engendramiento de DevSecOps.

El precio de la posibilidad de Echo no aparece públicamente, pero la compañía dice en su sitio web sus precios "basado en el consumo de imágenes, para avalar que se adapte a la forma en que positivamente construye y envía el software."