AI News HubLIVE
站內改寫2 分鐘閱讀

AI正在使維護者的漏洞披露工作不堪重負

AI生成的錯誤安全報告大量湧入,令開源維護者疲於驗證。Directus的資料顯示,2026年上半年收到的安全報告數量是往年的6倍,但其中有效漏洞比例驟降至5%。文章呼籲改進報告流程,強調維護者需獲得更多支援以應對AI帶來的挑戰。

來源Hacker News AI作者: haynesben

隨著人工智慧技術的普及,開源專案的安全性檢測正在經歷一場前所未有的變革。Directus公司的CTO兼聯合創始人Rijk van Zanten近日發表文章指出,AI在幫助發現真實漏洞的同時,也帶來了大量低質量的安全報告,使得維護者的工作負擔急劇增加。

據Directus統計,2026年上半年,他們共收到了230份安全報告,數量是過去幾年平均水平(約30-40份)的近6倍。然而,這些報告中只有11份(約5%)最終被確認為真實漏洞併發布公告。相比之下,2023年至2025年期間,有效報告的比例在35%至51%之間。這意味著,儘管報告數量激增,但維護者需要花費大量時間甄別虛假或重複的提交。

Van Zanten解釋說,AI使得生成一份看起來專業的報告變得異常容易。AI模型可以快速掃描程式碼庫,識別出熟悉的模式,描述潛在影響,並分配高嚴重性等級,整個過程只需幾分鐘。然而,這些報告往往基於錯誤的假設,或者是已經被修復的重複問題。2026年以來,約40%的新報告被標記為重複,而在此前四年間,幾乎沒有重複報告出現。

儘管如此,文章並不否定AI在安全研究中的價值。例如,Mozilla與Anthropic合作,利用AI發現了Firefox瀏覽器中的22個安全漏洞,並在後續版本中修復了271個問題。谷歌Project Zero的“大睡眠”專案也成功找到了SQLite中的一個可被利用的漏洞,並在正式釋出前修復了它。這些案例表明,AI在安全檢測領域具有巨大潛力。

然而,問題在於,現有的行業流程未能適應AI帶來的變化。過去,研究人員花費時間驗證漏洞、編寫復現步驟,然後提交報告。如今,AI自動生成的大量報告將驗證工作完全轉嫁給了維護者。Van Zanten呼籲,未來的報告應附帶證據、專案應具備更好的重複檢測機制,而平臺如GitHub也應提供更有效的管理工具。

這一現象並非Directus獨有。curl專案的創始人Daniel Stenberg一年前就曾警告過類似趨勢,並估計只有約5%的AI生成報告是真實的漏洞,他將這種狀況形容為“千刀萬剮”。

文章最後強調,AI安全研究的前景光明,但只有提高整個生態系統的處理能力,才能將AI的優勢轉化為真正的安全改進。維護者需要更多的時間和資源來驗證有價值的發現,而非被海量低質量報告淹沒。