Terwijl bedrijven de implementatie van LLM’s en agentische workflows versnellen, stuiten ze op een kritiek knelpunt in de infrastructuur: de containerbasisimages die deze applicaties aandrijven, zijn bezaaid met geërfde beveiligingsschulden.
Echoeen Israëlische startup, kondigt vandaag een serie A-financiering van $35 miljoen aan (waarmee het totaal nu op $50 miljoen komt) om dit probleem op te lossen door fundamenteel opnieuw na te denken over de manier waarop cloudinfrastructuur wordt gebouwd.
De ronde werd geleid door N47, met deelname van Notable Capital, Hyperwise Ventures en SentinelOne. Maar het echte verhaal is niet het kapitaal; het is het ambitieuze doel van het bedrijf om de chaotische open-source supply chain te vervangen door een beheerd, ‘secure-by-design’ besturingssysteem.
Het verborgen besturingssysteem van de cloud
Om te begrijpen waarom Echo belangrijk is, moet je eerst de onzichtbare basis van het moderne internet begrijpen: containerbasisafbeeldingen.
Denk aan een ‘container’, zoals een verzenddoos voor software. Het bevat de applicatiecode (wat de ontwikkelaars schrijven) en alles wat die code moet uitvoeren (de “basisimage”). Voor een niet-technisch publiek is de beste manier om een basisimage te begrijpen, deze te vergelijken met een gloednieuwe laptop. Wanneer u een computer koopt, wordt deze geleverd met een besturingssysteem (OS) zoals Windows of macOS dat vooraf is geïnstalleerd om de basisfuncties uit te voeren: praten met de harde schijf, verbinding maken met Wi-Fi en programma’s uitvoeren. Zonder dit is de computer nutteloos.
In de cloud is de basisimage dat besturingssysteem. Of een bedrijf als Netflix of Uber nu een eenvoudige webapp bouwt of een complex netwerk van autonome AI-agents, ze vertrouwen op deze vooraf gebouwde lagen (zoals Alpine, Python of Node.js) om de onderliggende runtimes en afhankelijkheden te definiëren.
Hier begint het risico. In tegenstelling tot Windows of macOS, die worden onderhouden door technologiegiganten, zijn de meeste basisimages open-source en gemaakt door gemeenschappen van vrijwilligers. Omdat ze zijn ontworpen om voor iedereen nuttig te zijn, zitten ze vaak boordevol ‘bloat’: honderden extra tools en instellingen die de meeste bedrijven eigenlijk niet nodig hebben.
Eylam Milner, de CTO van Echo, gebruikt een grimmige analogie om uit te leggen waarom dit gevaarlijk is: “Als je software alleen uit de open source-wereld haalt, is het alsof je een computer op straat neemt en deze op je (netwerk) aansluit.”
Traditioneel proberen bedrijven dit op te lossen door de afbeelding te downloaden, te scannen op bugs en te proberen de gaten te ‘patchen’. Maar het is een verloren strijd. Uit Echo’s onderzoek blijkt dat officiële Docker-images vaak meer dan 1.000 bekende kwetsbaarheden (CVE’s) bevatten op het moment dat ze worden gedownload. Voor bedrijfsbeveiligingsteams creëert dit een onmogelijk ‘whac-a-mole’-spel, waarbij infrastructuurschulden worden geërfd voordat hun technici ook maar één regel code hebben geschreven.
Het ‘Enterprise Linux’-moment voor AI
Voor Eilon Elhadad, medeoprichter en CEO van Echo, herhaalt de industrie de geschiedenis. “Precies wat er in het verleden is gebeurd: iedereen draait op Linux, en dan gaan ze over op Enterprise Linux”, vertelde Elhadad aan VentureBeat. Net zoals Red Hat open-source Linux professionaliseerde voor de bedrijfswereld, wil Echo het ‘enterprise AI native OS’ zijn – een verharde, zorgvuldig samengestelde basis voor het AI-tijdperk.
“We zien onszelf in het AI-tijdperk, de basis van alles”, zegt Elhadad.
De technologie: een ‘softwarecompilatiefabriek’
Echo is geen scantool. Er wordt niet achteraf gezocht naar kwetsbaarheden. In plaats daarvan functioneert het als een ‘softwarecompilatiefabriek’ die afbeeldingen helemaal opnieuw opbouwt.
Volgens Milner is Echo’s aanpak om kwetsbaarheden te elimineren afhankelijk van een rigoureus engineeringproces in twee stappen voor elke werklast:
-
Compilatie van bron: Echo begint met een leeg canvas. Het herstelt geen bestaande opgeblazen afbeeldingen; het compileert binaire bestanden en bibliotheken rechtstreeks vanuit de broncode. Dit zorgt ervoor dat alleen essentiële componenten worden opgenomen, waardoor het aanvalsoppervlak drastisch wordt verkleind.
-
Verharding en herkomst (SLSA niveau 3): De resulterende afbeeldingen worden versterkt met agressieve beveiligingsconfiguraties om exploitatie moeilijk te maken. Cruciaal is dat de build-pijplijn voldoet aan de SLSA Level 3-standaarden (Supply-chain Levels for Software Artefacts), waardoor wordt gegarandeerd dat elk artefact wordt ondertekend, getest en verifieerbaar.
Het resultaat is een ‘drop-in-vervanging’. Een ontwikkelaar verandert eenvoudigweg één regel in zijn Dockerfile zodat deze naar het register van Echo verwijst. De applicatie werkt identiek, maar de onderliggende OS-laag is wiskundig schoner en vrij van bekende CVE’s.
AI verdedigt tegen AI
De behoefte aan dit niveau van hygiëne wordt gedreven door de ‘AI versus AI’-wapenwedloop op veiligheidsgebied. Slechte actoren maken steeds vaker gebruik van AI om exploitvensters van weken tot dagen te comprimeren. Tegelijkertijd worden ‘codeeragenten’ – AI-tools die autonoom software schrijven – de belangrijkste codegeneratoren, waarbij ze vaak statistisch verouderde of kwetsbare bibliotheken uit open source selecteren.
Om dit tegen te gaan heeft Echo een eigen infrastructuur van AI-agenten gebouwd die autonoom kwetsbaarheidsonderzoek beheren.
-
Continue monitoring: De agenten van Echo monitoren maandelijks de ruim 4.000 nieuwe CVE’s die aan de Nationale Vulnerability Database (NVD) worden toegevoegd.
-
Ongestructureerd onderzoek: Naast officiële databases doorzoeken deze agenten ongestructureerde bronnen zoals GitHub-commentaren en ontwikkelaarsforums om patches te identificeren voordat ze op grote schaal worden gepubliceerd.
-
Zelfgenezing: Wanneer een kwetsbaarheid wordt bevestigd, identificeren de agenten de getroffen afbeeldingen, passen de oplossing toe, voeren compatibiliteitstests uit en genereren een pull-verzoek voor menselijke beoordeling.
Dankzij deze automatisering kan het technische team van Echo meer dan 600 beveiligde afbeeldingen onderhouden – een schaal waarvoor traditioneel honderden beveiligingsonderzoekers nodig zouden zijn.
Waarom het belangrijk is voor de CISO
Voor technische besluitvormers vertegenwoordigt Echo een verschuiving van ‘gemiddelde tijd tot herstel’ naar ‘standaard nul kwetsbaarheden’.
Dan Garcia, CISO van EDB, merkte in een persbericht op dat het platform “minstens 235 ontwikkelaarsuren per release bespaart” door de noodzaak voor technici te elimineren om valse positieven te onderzoeken of basisimages handmatig te patchen.
Echo stelt al de productieworkloads veilig voor grote ondernemingen als UiPath, EDB en Varonis. Nu bedrijven overstappen van containers naar agentische workflows, kan het vermogen om de onderliggende infrastructuur te vertrouwen (zonder deze te beheren) het bepalende kenmerk zijn van de volgende generatie DevSecOps.
De prijzen voor de oplossing van Echo zijn niet openbaar vermeld, maar het bedrijf zegt hierover website de prijzen zijn “gebaseerd op beeldconsumptie, om ervoor te zorgen dat het schaalt met de manier waarop u daadwerkelijk software bouwt en verzendt.”
