软件工程师 Jeff Kaufman(jefftk)5 月 8 日发表「AI is Breaking Two Vulnerability Cultures」一文、主张 AI 同时打破两种长期并存的资安漏洞处理文化—协调揭露(coordinated disclosure)与「静默修补」(bugs are bugs)—两种策略所依赖的「攻击者侦测速度缓慢」前提、都已被 AI 自动扫描技术突破。Kaufman 部落格原文并在 Hacker News 取得超过 200 分热度、是本周开发者社群讨论度最高的资安观察文章之一。
两种漏洞文化:协调揭露 vs 「静默修补」
Kaufman 整理的两种文化框架:
协调揭露(coordinated disclosure)—发现者私下通知维护者、给予典型 90 天修补窗口、再公开揭露。背后假设:攻击者要花时间独立发现同一漏洞
「Bugs are Bugs」静默修补—Linux 等开源项目常见做法、修补时不特别标示为安全修复、靠提交流量「淹没」资安修补、避免引起攻击者注意
两种文化过去能并存、是因为攻击者没有「快速、自动、低成本」的工具扫描所有提交记录或同时寻找同一漏洞。AI 改变了这个前提。
AI 对「静默修补」的冲击:commit 扫描变便宜
AI 对 Linux 风格开源项目的具体冲击:
过去:攻击者要逐一审视提交、需要大量人力与时间、「淹没在提交流量里」是有效掩护
现在:AI 可低成本扫描提交历史、自动辨识「看起来像安全修补」的 commit、即使作者没有明说
影响:静默修补的隐蔽性正在快速失效、「修补后等部署」的缓冲期被压缩
Kaufman 引用具体案例:「审视提交(examining commits)越来越具吸引力」、因为 AI 对每一项变更的评估「越来越便宜、越来越有效」。这意味着未来开源项目无法再依赖「修补速度比攻击者注意速度快」的传统优势。
AI 对「协调揭露」的冲击:90 天禁运期变得反效果
协调揭露文化的核心是「禁运期」(embargo)、发现者承诺在维护者修补前不公开—但 AI 让多个团队可同步扫描相同漏洞:
具体案例:研究者 Hyunwoo Kim 报告的某漏洞、9 小时后就被独立发现
多个 AI 辅助扫描团队同步运作、长禁运期反而给予「假性的的不急迫感」
当其他人 9 小时就能找到、90 天禁运让真正的攻击者拥有 89 天 23 小时的攻击窗口
Kaufman 的结论是:未来应采用「非常短的禁运期」(very short embargoes)、且随着 AI 能力提升越缩越短。重要的是、AI 加速并非单方面利于攻击者—防守者也能用 AI 加速修补与部署、双方在压缩的时间窗内竞争。
后续可追踪的具体事件:Linux Kernel 与 Project Zero 等大型项目是否更新揭露时程指引、AI 自动漏洞扫描工具(Semgrep、CodeQL 等)的商业化进度、以及企业资安部门对「AI 加速双刃」的具体应对策略。
这篇文章 Jeff Kaufman:AI 同时打破两种资安漏洞文化、90 天禁运期变反效果 最早出现于 链新闻 ABMedia。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
