Terwijl bedrijven de implementatie van LLM- en agentworkflows versnellen, worden ze geconfronteerd met een kritiek knelpunt in de infrastructuur: de containerbasisimages die deze applicaties aandrijven, zijn bezaaid met geërfde beveiligingsschulden.
Echoeen Israëlische startup, kondigt vandaag $35 miljoen aan Series A-financiering aan (wat het totaal tot nu toe op $50 miljoen aan financiering brengt) om dit probleem op te lossen door radicaal opnieuw uit te vinden hoe de cloudinfrastructuur wordt gebouwd.
De ronde werd geleid door N47, met deelname van Notable Capital, Hyperwise Ventures en SentinelOne. Maar het echte verhaal is niet het kapitaal: het is het ambitieuze doel van het bedrijf om zijn chaotische open source supply chain te vervangen door een beheerd, secure-by-design besturingssysteem.
Het verborgen besturingssysteem van de cloud
Om te begrijpen waarom Echo belangrijk is, moet je eerst de onzichtbare basis van het moderne internet begrijpen: de basiscontainerimages.
Beschouw een ‘container’ als een verzenddoos voor software. Het bevat de applicatiecode (wat ontwikkelaars schrijven) en alles wat de code nodig heeft om uit te voeren (de “basisimage”). Voor een niet-technisch publiek is de beste manier om een basisbeeld te begrijpen, het te vergelijken met een gloednieuwe laptop. Wanneer u een computer koopt, wordt deze geleverd met een besturingssysteem (OS) zoals Windows of macOS dat vooraf is geïnstalleerd om basisbewerkingen uit te voeren: praten met de harde schijf, verbinding maken met Wi-Fi en programma’s uitvoeren. Zonder dit is de computer nutteloos.
In de cloud is de basisimage het besturingssysteem. Of een bedrijf als Netflix of Uber nu een eenvoudige webapp of een complex netwerk van autonome AI-agenten bouwt, het vertrouwt op deze vooraf gebouwde lagen (zoals Alpine, Python of Node.js) om de onderliggende runtimes en afhankelijkheden te definiëren.
Dit is waar het risico begint. In tegenstelling tot Windows of macOS, die worden onderhouden door technologiegiganten, zijn de meeste basisimages open source en gemaakt door vrijwilligersgemeenschappen. Omdat ze zijn ontworpen om voor iedereen bruikbaar te zijn, zitten ze vaak boordevol honderden extra tools en instellingen die de meeste bedrijven eigenlijk niet nodig hebben.
Eylam Milner, CTO van Echo, gebruikt een grimmige analogie om uit te leggen waarom dit gevaarlijk is: “Software alleen uit de open source-wereld halen, is hetzelfde als een computer die je op de stoep vindt, nemen en deze op je eigen (netwerk) aansluiten.”
Traditioneel proberen bedrijven dit probleem op te lossen door de afbeelding te downloaden, te scannen op bugs en te proberen de gaten te ‘patchen’. Maar het is een verloren strijd. Echo-onderzoek wijst uit dat officiële Docker-images vaak meer dan 1.000 bekende kwetsbaarheden (CVE’s) bevatten tegen de tijd dat ze worden gedownload. Voor bedrijfsbeveiligingsteams creëert dit een onmogelijk ‘whac-a-mole’-spel, waarbij infrastructuurschulden worden geërfd voordat hun technici ook maar één regel code hebben geschreven.
Het ‘Enterprise Linux’-moment voor kunstmatige intelligentie
Voor Eilon Elhadad, medeoprichter en CEO van Echo, herhaalt de industrie de geschiedenis. “Precies wat er in het verleden is gebeurd… iedereen draait Linux, en dan stappen ze over op Enterprise Linux,” vertelde Elhadad aan VentureBeat. Net zoals Red Hat open source Linux professionaliseerde voor de bedrijfswereld, wil Echo het ‘native besturingssysteem voor zakelijke AI’ worden, een geconsolideerde, samengestelde basis voor het tijdperk van AI.
“We zien onszelf in het oorspronkelijke tijdperk van kunstmatige intelligentie, de basis van alles”, zegt Elhadad.
The Tech: een “softwarecompilatiefabriek”
Echo is geen scantool. Hij zoekt niet naar kwetsbaarheid achteraf. In plaats daarvan functioneert het als een “softwarecompilatiefabriek” die afbeeldingen helemaal opnieuw opbouwt.
Volgens Milner is Echo’s aanpak om kwetsbaarheden te elimineren gebaseerd op een rigoureus ontwerpproces in twee stappen voor elke werklast:
-
Compilatie van bron: Echo begint met een leeg canvas. Patcht bestaande opgeblazen afbeeldingen niet; compileert binaire bestanden en bibliotheken rechtstreeks vanuit de broncode. Dit zorgt ervoor dat alleen essentiële componenten worden opgenomen, waardoor het aanvalsoppervlak dramatisch wordt verkleind.
-
Uitharding en herkomst (SLSA niveau 3): De resulterende afbeeldingen worden versterkt met agressieve beveiligingsconfiguraties om exploitatie moeilijk te maken. Cruciaal is dat de bouwpijplijn voldoet aan de SLSA Level 3-normen (toeleveringsketenniveaus voor softwareartefacten), waardoor wordt gegarandeerd dat elk artefact wordt ondertekend, getest en verifieerbaar.
Het resultaat is een “onmiddellijke vervanging”. Een ontwikkelaar verandert eenvoudigweg een regel in zijn Dockerfile zodat deze naar het Echo-register verwijst. De applicatie werkt identiek, maar de onderliggende besturingssysteemlaag is wiskundig schoner en vrij van bekende CVE’s.
AI verdedigt zichzelf tegen AI
De behoefte aan dit niveau van hygiëne wordt gedreven door de ‘AI versus AI’-wapenwedloop op het gebied van beveiliging. Slechte actoren maken steeds vaker gebruik van kunstmatige intelligentie om de exploitatieperiode van weken naar dagen te comprimeren. Tegelijkertijd worden ‘codeeragenten’ – AI-tools die autonoom software schrijven – de belangrijkste codegeneratoren, die vaak statistisch verouderde of kwetsbare bibliotheken uit open source selecteren.
Om dit probleem te bestrijden heeft Echo een eigen infrastructuur van AI-agenten gebouwd die autonoom kwetsbaarheidsonderzoek beheren.
-
Continue monitoring: Echo-agenten monitoren maandelijks de ruim 4.000 nieuwe CVE’s die aan de Nationale Vulnerability Database (NVD) worden toegevoegd.
-
Ongestructureerd zoeken: Naast officiële databases analyseren deze agenten ongestructureerde bronnen zoals GitHub-commentaren en ontwikkelaarsforums om patches te identificeren voordat ze op grote schaal worden gepubliceerd.
-
Zelfgenezing: Wanneer een kwetsbaarheid wordt bevestigd, identificeren agenten de getroffen afbeeldingen, passen de oplossing toe, voeren compatibiliteitstests uit en genereren een pull-verzoek voor menselijke beoordeling.
Dankzij deze automatisering kan het technische team van Echo meer dan 600 beveiligde afbeeldingen onderhouden, een schaal waarvoor traditioneel honderden beveiligingsonderzoekers nodig zouden zijn.
Waarom het belangrijk is voor de CISO
Voor technische besluitvormers vertegenwoordigt Echo een verschuiving van ‘gemiddelde tijd tot oplossing’ naar ‘standaard nul kwetsbaarheden’.
Dan Garcia, de CISO van EDB, merkte in een persbericht op dat het platform “minstens 235 ontwikkelingsuren per release bespaart” door de noodzaak voor ingenieurs te elimineren om valse positieven te onderzoeken of basisimages handmatig te patchen.
Echo beschermt al de productieworkloads van grote bedrijven als UiPath, EDB en Varonis. Nu bedrijven overstappen van containers naar op agenten gebaseerde workflows, kan het vermogen om de onderliggende infrastructuur te vertrouwen, zonder deze te beheren, het bepalende kenmerk zijn van de volgende generatie DevSecOps.
De prijzen voor de oplossing van Echo zijn niet openbaar vermeld, maar het bedrijf zegt dat wel website de prijzen zijn “gebaseerd op het beeldverbruik, om ervoor te zorgen dat deze passen bij de manier waarop u de software daadwerkelijk bouwt en verzendt.”
