AI News HubLIVE
站内改写2 分钟阅读

AI正在使维护者的漏洞披露工作不堪重负

AI生成的错误安全报告大量涌入,令开源维护者疲于验证。Directus的数据显示,2026年上半年收到的安全报告数量是往年的6倍,但其中有效漏洞比例骤降至5%。文章呼吁改进报告流程,强调维护者需获得更多支持以应对AI带来的挑战。

来源Hacker News AI作者: haynesben

随着人工智能技术的普及,开源项目的安全性检测正在经历一场前所未有的变革。Directus公司的CTO兼联合创始人Rijk van Zanten近日发表文章指出,AI在帮助发现真实漏洞的同时,也带来了大量低质量的安全报告,使得维护者的工作负担急剧增加。

据Directus统计,2026年上半年,他们共收到了230份安全报告,数量是过去几年平均水平(约30-40份)的近6倍。然而,这些报告中只有11份(约5%)最终被确认为真实漏洞并发布公告。相比之下,2023年至2025年期间,有效报告的比例在35%至51%之间。这意味着,尽管报告数量激增,但维护者需要花费大量时间甄别虚假或重复的提交。

Van Zanten解释说,AI使得生成一份看起来专业的报告变得异常容易。AI模型可以快速扫描代码库,识别出熟悉的模式,描述潜在影响,并分配高严重性等级,整个过程只需几分钟。然而,这些报告往往基于错误的假设,或者是已经被修复的重复问题。2026年以来,约40%的新报告被标记为重复,而在此前四年间,几乎没有重复报告出现。

尽管如此,文章并不否定AI在安全研究中的价值。例如,Mozilla与Anthropic合作,利用AI发现了Firefox浏览器中的22个安全漏洞,并在后续版本中修复了271个问题。谷歌Project Zero的“大睡眠”项目也成功找到了SQLite中的一个可被利用的漏洞,并在正式发布前修复了它。这些案例表明,AI在安全检测领域具有巨大潜力。

然而,问题在于,现有的行业流程未能适应AI带来的变化。过去,研究人员花费时间验证漏洞、编写复现步骤,然后提交报告。如今,AI自动生成的大量报告将验证工作完全转嫁给了维护者。Van Zanten呼吁,未来的报告应附带证据、项目应具备更好的重复检测机制,而平台如GitHub也应提供更有效的管理工具。

这一现象并非Directus独有。curl项目的创始人Daniel Stenberg一年前就曾警告过类似趋势,并估计只有约5%的AI生成报告是真实的漏洞,他将这种状况形容为“千刀万剐”。

文章最后强调,AI安全研究的前景光明,但只有提高整个生态系统的处理能力,才能将AI的优势转化为真正的安全改进。维护者需要更多的时间和资源来验证有价值的发现,而非被海量低质量报告淹没。