软件工程师 Jeff Kaufman(jefftk)5 月 8 日发表「AI is Breaking Two Vulnerability Cultures」一文、主张 AI 同时打破两种长期并存的资安漏洞处理文化—协调揭露(coordinated disclosure)与「静默修补」(bugs are bugs)—两种策略所依赖的「攻击者侦测速度缓慢」前提、都已被 AI 自动扫描技术突破。Kaufman 部落格原文并在 Hacker News 取得超过 200 分热度、是本周开发者社群讨论度最高的资安观察文章之一。
两种漏洞文化:协调揭露 vs 「静默修补」
Kaufman 整理的两种文化框架:
协调揭露(coordinated disclosure)—发现者私下通知维护者、给予典型 90 天修补窗口、再公开揭露。背后假设:攻击者要花时间独立发现同一漏洞
「Bugs are Bugs」静默修补—Linux 等开源项目常见做法、修补时不特别标示为安全修复、靠提交流量「淹没」资安修补、避免引起攻击者注意
两种文化过去能并存、是因为攻击者没有「快速、自动、低成本」的工具扫描所有提交记录或同时寻找同一漏洞。AI 改变了这个前提。
AI 对「静默修补」的冲击:commit 扫描变便宜
AI 对 Linux 风格开源项目的具体冲击:
过去:攻击者要逐一审视提交、需要大量人力与时间、「淹没在提交流量里」是有效掩护
现在:AI 可低成本扫描提交历史、自动辨识「看起来像安全修补」的 commit、即使作者没有明说
影响:静默修补的隐蔽性正在快速失效、「修补后等部署」的缓冲期被压缩
Kaufman 引用具体案例:「审视提交(examining commits)越来越具吸引力」、因为 AI 对每一项变更的评估「越来越便宜、越来越有效」。这意味着未来开源项目无法再依赖「修补速度比攻击者注意速度快」的传统优势。
AI 对「协调揭露」的冲击:90 天禁运期变得反效果
协调揭露文化的核心是「禁运期」(embargo)、发现者承诺在维护者修补前不公开—但 AI 让多个团队可同步扫描相同漏洞:
具体案例:研究者 Hyunwoo Kim 报告的某漏洞、9 小时后就被独立发现
多个 AI 辅助扫描团队同步运作、长禁运期反而给予「假性的的不急迫感」
当其他人 9 小时就能找到、90 天禁运让真正的攻击者拥有 89 天 23 小时的攻击窗口
Kaufman 的结论是:未来应采用「非常短的禁运期」(very short embargoes)、且随着 AI 能力提升越缩越短。重要的是、AI 加速并非单方面利于攻击者—防守者也能用 AI 加速修补与部署、双方在压缩的时间窗内竞争。
后续可追踪的具体事件:Linux Kernel 与 Project Zero 等大型项目是否更新揭露时程指引、AI 自动漏洞扫描工具(Semgrep、CodeQL 等)的商业化进度、以及企业资安部门对「AI 加速双刃」的具体应对策略。
这篇文章 Jeff Kaufman:AI 同时打破两种资安漏洞文化、90 天禁运期变反效果 最早出现于 链新闻 ABMedia。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Cloudflare 股价在 5 月 8 日盘中大跌 23.62%,因 Q1 财报后宣布裁员 1,100 人
Cloudflare 的股价在 5 月 8 日下跌 23.62%,至每股 196.13 美元,此前公司发布了第一季度财报,并宣布约 1,100 人裁员。尽管第一季度营收为 6.4 亿美元,凭借同比增长 34% 超出预期,但第二季度营收指引为 6.64–6.65 亿美元,低于此前市场预期的 6.66 亿美元。裁员规模约占员工总数的 20%,是公司向“AI-agent-first 运营模式”转型的一部分,预计成本为 1.4 亿–1.5 亿美元。
GateNews1小时前
Helsing 目标在 180 亿美元估值下融资
据《金融时报》报道,Helsing,这家德国AI驱动的无人机初创公司,计划以约 180 亿美元的估值筹集新融资。
GateNews1小时前
Google DeepMind AI 联合数学家在 FrontierMath 第 4 级取得 47.9%,超越 GPT-5.5 Pro,解决了 3 个此前无法解决的问题
Google DeepMind 发布了 AI 共数学家(AI co-mathematician),一种多智能体数学研究助手,在 FrontierMath 第 4 级基准上实现 47.9% 的准确率,超越 GPT-5.5 Pro 在 5 月 9 日创下的先前纪录(39.6%)。该系统解决了 48 道题中的 23 道题,包括 3 道此前所有模型都无法解答的问题。该系统基于 Gemini 3.1 Pro 构建,采用分层架构:项目协调员智能体向子智能体分发任务,由子智能体分别负责文献检索、编码与推理,并在提交前由多个审阅智能体对证明进行验证。 Epoch AI 进行了盲测,确保 DeepMind 团队看不到题目,每道题允许进行 48 小时的计算。在实际应用中,数学家 Marc Lackenby 使用该系统解决了《Kourovka Notebook》中的一个未决猜想,展示了其实际研究价值。目前,该系统正处于测试版阶段,仅向少数数学家开放。
GateNews1小时前
OpenAI 的奖励系统无意中在包括 GPT-5.4 在内的 6 个模型上对思考链进行评分
根据 OpenAI 的对齐团队称,该公司最近发现了一个影响 6 个大型语言模型(包括 GPT-5.4)的关键训练错误:奖励机制无意中对模型的思维链进行了评分——即在生成答案之前的内部推理过程。GPT-5.5 未受影响。 该事件违反了一项基本的 AI 安全原则,即思维链绝不能被评估,因为这样做可能会激励模型为获得更高分数而编造推理。 有缺陷的评分系统在评估回复是否有用,或模型是否已被攻击所攻破时,错误地包含了思维链。受影响的训练样本在数据集中最多占 3.8%。OpenAI 已修补该漏洞,并开展了对比实验,证实这些模型并未发展出欺骗行为。该公司已在所有训练流程中部署了自动化扫描系统,以防止再次发生。
GateNews3小时前
阿里巴巴未与 DeepSeek 进行谈判,市场消息人士在 5 月 9 日作出澄清
据《财新》5月9日报道的市场消息,阿里巴巴并未就融资与 DeepSeek 进行谈判。此澄清是在此前媒体报道称两家公司会谈已破裂之后作出。DeepSeek 于4月发起一轮重要的融资,吸引了腾讯和阿里巴巴的关注。
GateNews3小时前
OpenAI 发布 Codex 迁移工具,用于从竞争性的 AI 助手导入配置
根据 OneMillionAI(Beating),OpenAI 已在 Codex 中发布了一款迁移工具,使用户能够从其他 AI 编程助手导入配置和数据,包括 Claude Code。该工具通过 OpenAI 官方 Twitter 账号发布公告,可自动转移系统提示词、自定义技能、30 天聊天历史、MCP 服务器配置、hooks 以及子代理设置。 OpenAI 指出,这款迁移工具会通过 Codex 设置中的“Import other agent setup”选项自动处理大多数配置。对于不兼容的设置,该工具会启动引导式对话,以帮助用户进行手动迁移。该公司建议用户在迁移后核实权限和身份验证设置,因为不同平台之间的权限系统不兼容。
GateNews3小时前
