Terwijl bedrijven LLM-implementaties en agentworkflows versnellen, worden ze geconfronteerd met een kritiek knelpunt in de infrastructuur: de containerbasisimages die deze applicaties aandrijven, zitten vol met verouderde beveiligingsschulden.
Echoeen Israëlische startup heeft vandaag 35 miljoen dollar aan Series A-financiering aangekondigd (waarmee het huidige financieringstotaal op 50 miljoen dollar komt) om dit probleem op te lossen door fundamenteel te heroverwegen hoe de cloudinfrastructuur wordt gebouwd.
De ronde werd geleid door N47, met deelname van Notable Capital, Hyperwise Ventures en SentinelOne. Maar het echte verhaal is niet het kapitaal; het is het ambitieuze doel van het bedrijf om chaotische open source toeleveringsketens te vervangen door beheerde, ‘secure by design’-besturingssystemen.
Verborgen besturingssysteem in de cloud
Om te begrijpen waarom Echo belangrijk is, moet je eerst de onzichtbare basis van het moderne internet begrijpen: op containers gebaseerde afbeeldingen.
Denk aan een ‘container’, zoals een verzenddoos voor software. Het slaat de applicatiecode op (wat de ontwikkelaar heeft geschreven) en alle code die moet worden uitgevoerd (de “basisimage”). Voor een niet-technisch publiek is de beste manier om het basisbeeld te begrijpen, het te vergelijken met een nieuwe laptop. Wanneer u een computer koopt, wordt deze geleverd met een besturingssysteem (OS) zoals Windows of macOS dat vooraf is geïnstalleerd om de basisfuncties uit te voeren: praten met de harde schijf, verbinding maken met Wi-Fi en programma’s uitvoeren. Zonder dit is een computer nutteloos.
In de cloud is het onderliggende beeld dat besturingssysteem. Of bedrijven als Netflix of Uber nu eenvoudige webapplicaties of complexe netwerken van autonome AI-agents bouwen, ze vertrouwen op vooraf gebouwde lagen (zoals Alpine, Python of Node.js) om de onderliggende runtime en afhankelijkheden te definiëren.
Dit is waar de risico’s beginnen. In tegenstelling tot Windows of macOS, die worden onderhouden door technologiegiganten, zijn de meeste basisimages open source en gemaakt door een gemeenschap van vrijwilligers. Omdat ze zijn ontworpen om voor iedereen bruikbaar te zijn, zitten ze vaak boordevol ‘bloat’: honderden extra tools en instellingen die de meeste bedrijven simpelweg niet nodig hebben.
Eylam Milner, CTO van Echo, gebruikt een duidelijke analogie om uit te leggen waarom dit gevaarlijk is: “Als je software uit de open source-wereld haalt, is het alsof je een computer op de stoep neemt en deze aansluit op je (netwerk).”
Traditioneel proberen bedrijven deze problemen op te lossen door afbeeldingen te downloaden, te scannen op bugs en te proberen de gaten te ‘patchen’. Maar dit is een verloren strijd. Echo-onderzoek toont aan dat officiële Docker-images vaak meer dan 1.000 bekende kwetsbaarheden (CVE’s) bevatten wanneer ze worden gedownload. Voor bedrijfsbeveiligingsteams creëert dit een onmogelijk ‘whac-a-mole’-spel, waarbij infrastructuurschulden worden geërfd voordat hun technici ook maar één regel code hebben geschreven.
Een “Enterprise Linux”-moment voor AI
Voor Eilon Elhadad, medeoprichter en CEO van Echo, herhaalt de industrie de geschiedenis. “Net als wat er in het verleden gebeurde… iedereen gebruikte Linux, en daarna stapten ze over op Enterprise Linux”, vertelde Elhadad aan VentureBeat. Net zoals Red Hat open-source Linux professionaliseerde voor de bedrijfswereld, wil Echo ook het ‘native OS van enterprise AI’ zijn – een solide, samengestelde basis voor het AI-tijdperk.
“We zien onszelf in een tijdperk van AI dat de basis vormt van alles”, zegt Elhadad.
Technologie: “Software Compilatiefabriek”
Echo is geen scantool. Hij zoekt niet achteraf naar kwetsbaarheden. In plaats daarvan functioneert het als een ‘softwarecompilatiefabriek’ die afbeeldingen helemaal opnieuw opbouwt.
Volgens Milner is Echo’s aanpak om kwetsbaarheden te elimineren afhankelijk van een rigoureus engineeringproces in twee stappen voor elke workload:
-
Compilatie van bron: Echo begint met een leeg canvas. Het herstelt geen reeds opgeblazen beeld; het compileert binaire bestanden en bibliotheken rechtstreeks vanuit de broncode. Dit zorgt ervoor dat alleen kritische componenten worden opgenomen, waardoor het aanvalsoppervlak drastisch wordt verkleind.
-
Verharding en oorsprong (SLSA niveau 3): Het resulterende imago wordt verhard met agressieve beveiligingsconfiguraties om exploitatie moeilijk te maken. Het allerbelangrijkste is dat de bouwstroom voldoet aan de SLSA Level 3-standaarden (Supply Chain Level for Software Artefacts), die ervoor zorgt dat elk artefact wordt ondertekend, getest en verifieerbaar.
Het resultaat is ‘drop-in-vervanging’. Ontwikkelaars wijzigen eenvoudigweg één regel in hun Dockerfile zodat deze naar het Echo-register verwijst. Deze applicaties werken op dezelfde manier, maar de onderliggende OS-laag is wiskundig schoner en vrij van bekende CVE’s.
AI verdedigt tegen AI
De behoefte aan dit niveau van reinheid wordt gedreven door de ‘AI versus AI’-wapenwedloop op het gebied van beveiliging. Criminelen maken steeds vaker gebruik van AI om de exploitatievensters van week tot dag te comprimeren. Tegelijkertijd werden ‘coding agents’ – AI-tools die autonoom software schrijven – de belangrijkste codegenerator, waarbij ze vaak statistisch verouderde of kwetsbare bibliotheken uit open source selecteerden.
Om dit aan te pakken heeft Echo een infrastructuur van AI-agenten gebouwd die autonoom kwetsbaarheidsonderzoek beheren.
-
Continue monitoring: Echo Agent monitort maandelijks de ruim 4.000 nieuwe CVE’s die aan de Nationale Vulnerability Database (NVD) worden toegevoegd.
-
Ongestructureerd onderzoek: Naast officiële databases doorzoeken deze agenten ongestructureerde bronnen zoals GitHub-commentaren en ontwikkelaarsforums om patches te identificeren voordat ze op grote schaal worden gepubliceerd.
-
Zelfgenezing: Wanneer een kwetsbaarheid wordt bevestigd, identificeert de agent de getroffen afbeelding, past een oplossing toe, voert een compatibiliteitstest uit en creëert een pull-verzoek voor menselijke beoordeling.
Dankzij deze automatisering kan het technische team van Echo meer dan 600 beveiligde afbeeldingen onderhouden, een schaal waarvoor normaal gesproken honderden beveiligingsonderzoekers nodig zijn.
Waarom dit belangrijk is voor CISO’s
Voor technische besluitvormers vertegenwoordigt Echo een verschuiving van ‘gemiddelde tijd tot herstel’ naar ‘standaard geen kwetsbaarheden’.
Dan Garcia, CISO van EDB, merkte in een persbericht op dat het platform “minstens 235 ontwikkelaarsuren per release bespaart” door de noodzaak voor technici te elimineren om valse positieven te onderzoeken of basisimages handmatig te patchen.
Echo heeft de productieworkloads beveiligd voor grote ondernemingen zoals UiPath, EDB en Varonis. Nu bedrijven overstappen van containerworkflows naar agentworkflows, kan het vermogen om de onderliggende infrastructuur te vertrouwen (zonder deze te beheren) een bepalend kenmerk zijn van de volgende generatie DevSecOps.
De prijzen voor de Echo-oplossing zijn niet openbaar vermeld, maar het bedrijf beweert dat dit wel het geval is website de prijzen zijn “gebaseerd op het beeldverbruik, om ervoor te zorgen dat deze schaalt met de manier waarop u daadwerkelijk software bouwt en levert.”
