軟體工程師 Jeff Kaufman(jefftk)5 月 8 日發表「AI is Breaking Two Vulnerability Cultures」一文、主張 AI 同時打破兩種長期並存的資安漏洞處理文化—協調揭露(coordinated disclosure)與「靜默修補」(bugs are bugs)—兩種策略所依賴的「攻擊者偵測速度緩慢」前提、都已被 AI 自動掃描技術突破。Kaufman 部落格原文並在 Hacker News 取得超過 200 分熱度、是本週開發者社群討論度最高的資安觀察文章之一。
兩種漏洞文化:協調揭露 vs 「靜默修補」
Kaufman 整理的兩種文化框架:
協調揭露(coordinated disclosure)—發現者私下通知維護者、給予典型 90 天修補窗口、再公開揭露。背後假設:攻擊者要花時間獨立發現同一漏洞
「Bugs are Bugs」靜默修補—Linux 等開源專案常見作法、修補時不特別標示為安全修復、靠提交流量「淹沒」資安修補、避免引起攻擊者注意
兩種文化過去能並存、是因為攻擊者沒有「快速、自動、低成本」的工具掃描所有提交記錄或同時尋找同一漏洞。AI 改變了這個前提。
AI 對「靜默修補」的衝擊:commit 掃描變便宜
AI 對 Linux 風格開源專案的具體衝擊:
過去:攻擊者要逐一審視提交、需要大量人力與時間、「淹沒在提交流量裡」是有效掩護
現在:AI 可低成本掃描提交歷史、自動辨識「看起來像安全修補」的 commit、即使作者沒有明說
影響:靜默修補的隱蔽性正在快速失效、「修補後等部署」的緩衝期被壓縮
Kaufman 引用具體案例:「審視提交(examining commits)越來越具吸引力」、因為 AI 對每一個變更的評估「越來越便宜、越來越有效」。這意味未來開源專案無法再依賴「修補速度比攻擊者注意速度快」的傳統優勢。
AI 對「協調揭露」的衝擊:90 天禁運期變得反效果
協調揭露文化的核心是「禁運期」(embargo)、發現者承諾在維護者修補前不公開—但 AI 讓多個團隊可同步掃描相同漏洞:
具體案例:研究者 Hyunwoo Kim 報告的某漏洞、9 小時後就被獨立發現
多個 AI 輔助掃描團隊同步運作、長禁運期反而給予「假性的不急迫感」
當其他人 9 小時就能找到、90 天禁運讓真正的攻擊者擁有 89 天 23 小時的攻擊窗口
Kaufman 的結論是:未來應採用「非常短的禁運期」(very short embargoes)、且隨 AI 能力提升越縮越短。重要的是、AI 加速並非單方面利於攻擊者—防守者也能用 AI 加速修補與部署、雙方在壓縮的時間窗內競速。
後續可追蹤的具體事件:Linux Kernel 與 Project Zero 等大型專案是否更新揭露時程指引、AI 自動漏洞掃描工具(Semgrep、CodeQL 等)的商業化進度、以及企業資安部門對「AI 加速雙刃」的具體應對策略。
這篇文章 Jeff Kaufman:AI 同時打破兩種資安漏洞文化、90 天禁運期變反效果 最早出現於 鏈新聞 ABMedia。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
AI 語音創業公司 Vapi 完成由 Peak XV Partners 領導的 $50M 系列 B 融資
根據 TechCrunch,Vapi,一家 AI 語音創業公司,完成了一輪由 Peak XV Partners 領投的 5000 萬美元 B 輪融資,融資後估值約 5 億美元。Ring(亞馬遜的子公司)在評估超過 40 家 AI 語音供應商後,部署 Vapi 以處理其 100% 的來電,協助推動這輪融資。
GateNews21分鐘前
在重複的記憶摘要之後,ARC-AGI 上的 GPT-5.4 準確率從 100% 下降至 54%
根據 Beating,伊利諾伊大學的博士生 Dylan Zhang 所進行的一項近期「代理(Agent)記憶」研究發現,反覆摘要化模型的經驗可能會降低表現,而不是提升它。在 ARC-AGI 任務中,GPT-5.4 在不使用記憶的情況下,於 19 個問題上達到 100% 準確率;但在基於正確解題軌跡進行多輪記憶壓縮之後,準確率降至 54%。同樣地,在 WebShop 購物任務中,AWM 記憶方法在 8 條專家軌跡時得分為 0.64,但在 128 條軌跡時降至 0.20,並回到基準值。研究指出,這個問題源於過度摘要:每一步抽象化都會流失特定細節,並將任務專屬的規則合併成通用指引,最終導致模型表現惡化。
GateNews33分鐘前
NVIDIA 與 MIT 發布 Lightning OPD 架構,提升模型蒸餾效率 4 倍,同時消除 GPU 記憶體問題
據報導,NVIDIA 與 MIT 研究人員發布了 Lightning OPD(Offline On-Policy Distillation),這是一種用於大型語言模型的新型後訓練框架,可消除在訓練期間維持教師模型持續運行的需求。透過離線預先計算教師模型的對數機率,該框架可使訓練效率提升 4 倍,同時釋放所有 GPU 資源用於學生模型訓練。 在 8 張 NVIDIA H100 GPU 的測試中,Lightning OPD 成功蒸餾了 Qwen3-30B-A3B-Base(具 300 億參數的 MoE 模型),並在 AIME 2024 基準測試上達到 71.0;相較之下,標準 OPD 在相同硬體上因記憶體不足而失敗。對於較小的 Qwen3-8B 模型,該框架僅需 30 個 GPU 小時計算時間即可達到 69.9 分。
GateNews49分鐘前
OpenAI 於 5 月 12 日擴大可信存取計畫,涵蓋數十家歐洲企業
根據 5 月 12 日的報導,OpenAI 宣布計劃將其可信存取計畫擴展至數十家歐洲企業。
GateNews56分鐘前
真人版變形金剛!宇樹科技推出全球首款量產型機器人載具,售價 57 萬美元
杭州的宇樹科技宣布推出GD01全球首款量產變形機甲,可在雙足與四足間自由切換,重約500公斤,售價約人民幣390萬元,定位民用運輸載具。示範顯示步行與底盤重組,展現硬體與運動控制整合。中國人形機器人市場占全球近九成,智元機器人則以軟體世界模型GE-Sim 2.0推動自我訓練。晶片與算力供應鏈仍是發展瓶頸。
鏈新聞abmedia2小時前
思考機器 Model T 將 GPT-Realtime-2 以今日音訊基準第 1 名之姿擊敗,APR 得分為 43.4%
根據 Scale Labs 今天發布的最新 Audio MC S2S 基準測試,Thinking Machines 的 TML-Interaction-Small 模型獲得 43.36 分,與 OpenAI 的 GPT-Realtime-2(xHigh)並列第一,且其 APR 得分為 43.4%。整體總分領先者 GPT-Realtime-2(xHigh)得分為 48.45 分,而 TML-Interaction-Small 緊隨其後同樣是 43.36 分;兩者差距落在統計誤差範圍內,因此官方結果並列第一。
GateNews2小時前
