2026年3月,Anthropic、亚马逊AWS、GitHub、谷歌、微软、OpenAI六大科技巨头联合向Linux基金会提供1250万美元专项资助,用于解决AI自动化工具生成的海量低质安全报告挤占开源维护者精力的行业痛点,资金将投入Alpha-Omega项目与开源安全基金会(OpenSSF),助力开源社区过滤无效漏洞报告,聚焦真实安全威胁。
开源工具cURL的维护团队前不久刚刚宣布暂停运行了5年的漏洞奖励计划,给出的理由戳中了全球开源社区的共同困境:每天收到的上百份漏洞报告里,超过90%是AI自动生成的误报或重复内容,维护团队要花近8成工作时间做基础筛查,根本没有精力处理真正的高危漏洞。
随着大语言模型的普及,漏洞发现的技术门槛被大幅拉低:任何人只要调用AI扫描工具对开源仓库跑一遍,就能生成一份看起来规范的漏洞报告,不少人甚至批量生成报告提交到各项目的漏洞奖励计划,试图薅取赏金。
根据开源安全基金会2025年的调研数据,全年全球开源项目收到的漏洞报告总量同比增长320%,但其中有效的可复现漏洞占比不足7%,已经有超过30个热门开源项目因不堪重负暂停了公开的漏洞接收通道。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录