A medida que las empresas aceleran la implementación de LLM y flujos de trabajo agentes, se topan con un cuello de botella crítico en la infraestructura: las imágenes base de contenedores que impulsan estas aplicaciones están plagadas de deudas de seguridad heredadas.
Ecouna startup israelí, anuncia hoy una financiación Serie A de 35 millones de dólares (lo que eleva su total hasta la fecha a 50 millones de dólares en financiación) para solucionar este problema reinventando fundamentalmente cómo se construye la infraestructura de la nube.
La ronda fue liderada por N47, con la participación de Notable Capital, Hyperwise Ventures y SentinelOne. Pero la verdadera historia no es el capital: es el ambicioso objetivo de la compañía de reemplazar la caótica cadena de suministro de código abierto con un sistema operativo administrado y “seguro por diseño”.
El sistema operativo oculto de la nube
Para entender por qué es importante Echo, primero hay que entender la base invisible de la Internet moderna: las imágenes base de contenedores.
Piense en un “contenedor” como una caja de envío de software. Contiene el código de la aplicación (lo que escriben los desarrolladores) y todo lo que ese código necesita para ejecutarse (la “imagen base”). Para una audiencia no técnica, la mejor manera de entender una imagen base es compararla con una computadora portátil nueva. Cuando compras una computadora, viene con un sistema operativo (SO) como Windows o macOS preinstalado para manejar los aspectos básicos: hablar con el disco duro, conectarse a Wi-Fi y ejecutar programas. Sin él, la computadora es inútil.
En la nube, la imagen base es ese Sistema Operativo. Ya sea que una empresa como Netflix o Uber esté creando una aplicación web simple o una red compleja de agentes autónomos de IA, dependen de estas capas prediseñadas (como Alpine, Python o Node.js) para definir los tiempos de ejecución y las dependencias subyacentes.
Aquí es donde comienza el riesgo. A diferencia de Windows o macOS, mantenidos por gigantes tecnológicos, la mayoría de las imágenes base son de código abierto y creadas por comunidades de voluntarios. Debido a que están diseñados para ser útiles para todos, a menudo están repletos de “inflaciones”: cientos de herramientas y configuraciones adicionales que la mayoría de las empresas en realidad no necesitan.
Eylam Milner, director tecnológico de Echo, utiliza una cruda analogía para explicar por qué esto es peligroso: “Tomar software del mundo de código abierto es como tomar una computadora que se encuentra en la acera y conectarla a su [network]”.
Tradicionalmente, las empresas intentan solucionar este problema descargando la imagen, escaneándola en busca de errores e intentando “parchar” los agujeros. Pero es una batalla perdida. La investigación de Echo indica que las imágenes oficiales de Docker a menudo contienen más de 1000 vulnerabilidades conocidas (CVE) en el momento en que se descargan. Para los equipos de seguridad empresarial, esto crea un juego imposible de “golpear al topo”, heredando deuda de infraestructura antes de que sus ingenieros escriban una sola línea de código.
El momento “Enterprise Linux” para la IA
Para Eilon Elhadad, cofundador y director ejecutivo de Echo, la industria está repitiendo la historia. “Exactamente lo que sucedió en el pasado… todos ejecutan Linux y luego pasan a Enterprise Linux”, dijo Elhadad a VentureBeat. Así como Red Hat profesionalizó Linux de código abierto para el mundo corporativo, Echo aspira a ser el “sistema operativo nativo de IA empresarial”, una base sólida y curada para la era de la IA.
“Nos vemos en la era nativa de la IA, la base de todo”, afirma Elhadad.
The Tech: una “fábrica de compilación de software”
Echo no es una herramienta de escaneo. No busca vulnerabilidades a posteriori. En cambio, funciona como una “fábrica de compilación de software” que reconstruye imágenes desde cero.
Según Milner, el enfoque de Echo para eliminar vulnerabilidades se basa en un riguroso proceso de ingeniería de dos pasos para cada carga de trabajo:
- Compilación de la fuente: Echo comienza con un lienzo vacío. No parchea imágenes infladas existentes; compila binarios y bibliotecas directamente desde el código fuente. Esto garantiza que solo se incluyan los componentes esenciales, lo que reduce drásticamente la superficie de ataque.
- Endurecimiento y procedencia (SLSA Nivel 3): Las imágenes resultantes están reforzadas con configuraciones de seguridad agresivas para dificultar la explotación. Fundamentalmente, el proceso de compilación cumple con los estándares SLSA Nivel 3 (Niveles de la cadena de suministro para artefactos de software), lo que garantiza que cada artefacto esté firmado, probado y verificable.
El resultado es un “reemplazo directo”. Un desarrollador simplemente cambia una línea en su Dockerfile para que apunte al registro de Echo. La aplicación se ejecuta de manera idéntica, pero la capa subyacente del sistema operativo es matemáticamente más limpia y libre de CVE conocidos.
IA defendiéndose contra la IA
La necesidad de este nivel de higiene está siendo impulsada por la carrera armamentista de seguridad “IA contra IA”. Los delincuentes utilizan cada vez más la IA para comprimir ventanas de explotación de semanas a días. Al mismo tiempo, los “agentes de codificación” (herramientas de inteligencia artificial que escriben software de forma autónoma) se están convirtiendo en los principales generadores de código, y a menudo seleccionan estadísticamente bibliotecas obsoletas o vulnerables de código abierto.
Para contrarrestar esto, Echo ha creado una infraestructura patentada de agentes de inteligencia artificial que gestionan de forma autónoma la investigación de vulnerabilidades.
- Monitoreo continuo: Los agentes de Echo monitorean mensualmente los más de 4000 nuevos CVE agregados a la Base de datos nacional de vulnerabilidad (NVD).
- Investigación no estructurada: Más allá de las bases de datos oficiales, estos agentes rastrean fuentes no estructuradas como comentarios de GitHub y foros de desarrolladores para identificar parches antes de que se publiquen ampliamente.
- Autosanación: Cuando se confirma una vulnerabilidad, los agentes identifican las imágenes afectadas, aplican la solución, ejecutan pruebas de compatibilidad y generan una solicitud de extracción para revisión humana.
Esta automatización permite al equipo de ingeniería de Echo mantener más de 600 imágenes seguras, una escala que tradicionalmente requeriría cientos de investigadores de seguridad.
Por qué es importante para el CISO
Para los responsables de la toma de decisiones técnicas, Echo representa un cambio del “tiempo medio para la remediación” a “cero vulnerabilidades por defecto”.
Dan García, CISO de EDB, señaló en un comunicado de prensa que la plataforma “ahorra al menos 235 horas de desarrollador por lanzamiento” al eliminar la necesidad de que los ingenieros investiguen falsos positivos o parcheen las imágenes base manualmente.
Echo ya está asegurando cargas de trabajo de producción para empresas importantes como UiPath, EDB y Varonis. A medida que las empresas pasan de contenedores a flujos de trabajo agentes, la capacidad de confiar en la infraestructura subyacente (sin administrarla) puede ser la característica definitoria de la próxima generación de DevSecOps.
El precio de la solución de Echo no aparece públicamente, pero la compañía dice en su sitio web su precio “se basa en el consumo de imágenes, para garantizar que se adapte a la forma en que realmente se construye y distribuye el software”.
