软件工程师 Jeff Kaufman(jefftk)5 月 8 日发表「AI is Breaking Two Vulnerability Cultures」一文、主张 AI 同时打破两种长期并存的资安漏洞处理文化—协调揭露(coordinated disclosure)与「静默修补」(bugs are bugs)—两种策略所依赖的「攻击者侦测速度缓慢」前提、都已被 AI 自动扫描技术突破。Kaufman 部落格原文并在 Hacker News 取得超过 200 分热度、是本周开发者社群讨论度最高的资安观察文章之一。
两种漏洞文化:协调揭露 vs 「静默修补」
Kaufman 整理的两种文化框架:
协调揭露(coordinated disclosure)—发现者私下通知维护者、给予典型 90 天修补窗口、再公开揭露。背后假设:攻击者要花时间独立发现同一漏洞
「Bugs are Bugs」静默修补—Linux 等开源项目常见做法、修补时不特别标示为安全修复、靠提交流量「淹没」资安修补、避免引起攻击者注意
两种文化过去能并存、是因为攻击者没有「快速、自动、低成本」的工具扫描所有提交记录或同时寻找同一漏洞。AI 改变了这个前提。
AI 对「静默修补」的冲击:commit 扫描变便宜
AI 对 Linux 风格开源项目的具体冲击:
过去:攻击者要逐一审视提交、需要大量人力与时间、「淹没在提交流量里」是有效掩护
现在:AI 可低成本扫描提交历史、自动辨识「看起来像安全修补」的 commit、即使作者没有明说
影响:静默修补的隐蔽性正在快速失效、「修补后等部署」的缓冲期被压缩
Kaufman 引用具体案例:「审视提交(examining commits)越来越具吸引力」、因为 AI 对每一项变更的评估「越来越便宜、越来越有效」。这意味着未来开源项目无法再依赖「修补速度比攻击者注意速度快」的传统优势。
AI 对「协调揭露」的冲击:90 天禁运期变得反效果
协调揭露文化的核心是「禁运期」(embargo)、发现者承诺在维护者修补前不公开—但 AI 让多个团队可同步扫描相同漏洞:
具体案例:研究者 Hyunwoo Kim 报告的某漏洞、9 小时后就被独立发现
多个 AI 辅助扫描团队同步运作、长禁运期反而给予「假性的的不急迫感」
当其他人 9 小时就能找到、90 天禁运让真正的攻击者拥有 89 天 23 小时的攻击窗口
Kaufman 的结论是:未来应采用「非常短的禁运期」(very short embargoes)、且随着 AI 能力提升越缩越短。重要的是、AI 加速并非单方面利于攻击者—防守者也能用 AI 加速修补与部署、双方在压缩的时间窗内竞争。
后续可追踪的具体事件:Linux Kernel 与 Project Zero 等大型项目是否更新揭露时程指引、AI 自动漏洞扫描工具(Semgrep、CodeQL 等)的商业化进度、以及企业资安部门对「AI 加速双刃」的具体应对策略。
这篇文章 Jeff Kaufman:AI 同时打破两种资安漏洞文化、90 天禁运期变反效果 最早出现于 链新闻 ABMedia。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
英伟达 Space Computing 生态链出炉,Space-1 Vera Rubin 将数据中心级 AI 算力送上太空
NVIDIA Space Computing 在 GTC 2026 问世,近日輝达官方釋出更多资訊,試圖把加速运算平台从地面资料中心推向太空軌道。这項计畫聚焦於新一代太空任務所需的 AI 基礎设施,让衛星、軌道平台与地面站都能使用 NVIDIA GPU 与边緣运算模組,加速處理影像、感測器资料与地理空间情报。 (NVIDIA GTC 2026|輝达送 Space-1 Vera Rubin 上太空,打造真「雲端运算」平台) NVIDIA 表示,随著商业太空产业发展,未来任務不再只是把资料从太空傳回地球,而是需要在軌道上即时處理、分析与決策。这包括天然災害应變、環境監測、气候与天气预測、基礎建设管理,以及自动化太空操作。 从地球到太空:NVIDIA 要解決卫星资料延迟与下行成本 傳统衛星任務往往需要將大量原始资料傳回地面,再由地面资料中心进行分析。但在地球觀測、红外线影像、SAR 雷达与射频讯号偵測等应用中,资料量可能高达數百 TB,若完全依賴下行傳输,不只成本高,也会拉长反应时间。 NVIDIA 的 Space Computing 目標,就是把部分 AI 推理与资料融合能力直接放到太空端
鏈新聞abmedia2小时前
Chrome 于 5 月 9 日自动下载数 GB 的 Gemini Nano AI 模型,引发加密社区安全担忧
据 BlockBeats 称,5 月 9 日,Chrome 在未征得用户明确同意的情况下,自动下载了一个多 GB 的 AI 模型文件(Gemini Nano)到用户设备上,用于本地欺诈检测、网页摘要以及 AI 功能。 尽管 Google 表示,本地 AI 执行可增强隐私和安全性,但加密用户对缺乏透明度以及未获明确授权表示担忧。随着浏览器越来越成为加密钱包、链上交易和 DApps 的核心入口,此举也加剧了行业对攻击面扩大的担忧,其中包括恶意扩展、伪造的交易页面以及钱包被劫持的风险。
GateNews2小时前
美国法官裁定 DOGE 资助削减在使用 ChatGPT 和 DEI 关键词后属违法,并于周四阻止执行
据 ABC 新闻报道,周四一名美国联邦法官裁定,由埃隆·马斯克支持的 DOGE 执行的拨款削减是违法的。纽约的美国地区法官科琳·麦克马洪表示,工作人员使用 ChatGPT 以及包括“DEI”“Equity”“Inclusion”和“LGBTQ”在内的关键词搜索,来协助终止面向美国国家人文基金会(National Endowment for the Humanities)的资助项目。该法官下令,禁止特朗普政府执行这些存在争议的取消决定,并表示审查流程未能类似任何正常的联邦拨款审查体系。麦克马洪写道,使用受保护的身份和与多样性相关的术语作为取消资助的理由,可能违反了法律。
GateNews4小时前
欧洲央行官员称 AI 风险促使周六对金融基础设施进行审查
José Luis Escrivá,欧洲央行管委会成员兼西班牙央行行长,上周六表示,鉴于人工智能的兴起,央行必须审查金融基础设施的韧性和网络安全。“人工智能的近期发展迫使我们重新评估金融基础设施的稳健性以及我们的网络安全,”Escrivá在塔拉戈纳的一场活动上表示。他还强调,央行作为最终担保方,在应对稳定币带来的风险方面发挥作用。
GateNews4小时前
Cloudflare 股价在 5 月 8 日盘中大跌 23.62%,因 Q1 财报后宣布裁员 1,100 人
Cloudflare 的股价在 5 月 8 日下跌 23.62%,至每股 196.13 美元,此前公司发布了第一季度财报,并宣布约 1,100 人裁员。尽管第一季度营收为 6.4 亿美元,凭借同比增长 34% 超出预期,但第二季度营收指引为 6.64–6.65 亿美元,低于此前市场预期的 6.66 亿美元。裁员规模约占员工总数的 20%,是公司向“AI-agent-first 运营模式”转型的一部分,预计成本为 1.4 亿–1.5 亿美元。
GateNews6小时前
Helsing 目标在 180 亿美元估值下融资
据《金融时报》报道,Helsing,这家德国AI驱动的无人机初创公司,计划以约 180 亿美元的估值筹集新融资。
GateNews6小时前
