AI 时代的「幸福烦恼」:漏洞报告井喷,我们在疲于应对中看见未来
今年,软件安全领域出现了一个新的变化:AI 辅助下的漏洞发掘,正在迎来真正的井喷式增长。
随着大模型对复杂代码理解能力的跃升,安全研究人员手中的工具获得了质的飞跃。 这股浪潮最直观的表现,便是我们作为开源代码维护者,在收件箱里收到的大量问题报告和邮件。
老实说,最近面对这突如其来的报告洪流,我的第一感觉是有些招架不住。
许多开源项目都是由志愿者维护的。而所谓志愿者,往往意味着他们并不为此获得报酬, 而是有另一份工作来养活自己。现在,AI 不仅能找到代码中存在已久的问题, 还能够以颇具创造性的方式将这些问题组合起来,生成质量相当不错的报告,甚至是漏洞利用方式。
事实上,我们今年收到的关于 FreeBSD 的报告,绝大部分都相当精彩。然而尽管如此, 由于人手不足,我们目前仍然陷入了一种比较尴尬的境地:对付机器发现的漏洞, 一个显而易见的解决方案是我们也用机器去做初步的筛选和评估;但另一方面, 在实施修正时,我们又必须假定机器生成的修正有可能并不完备。 这就对开发者熟悉软件本身的程度提出了更高的要求。
更麻烦的是,许多报告中的问题是真实存在的。对于这些积压的问题,我们仍然需要及时处理和回应。 毕竟,一个团队使用 AI 能够发现的问题,很可能另一个团队也会用类似的技术发现; 而我们并不能预期每个这么做的人都会负责任地汇报漏洞。
每当从这堆看似冗杂的报告中,真正确认并复现出一个潜伏极深、单靠人力代码审查很难发现的问题时, 我都能清晰地感受到技术变革的力量。AI 正在以前所未有的粒度和耐心,帮助我们梳理整个代码库中的隐患。
虽然当下这波「漏洞发掘大跃进」让我们这些负责修复和把关的人有些苦不堪言,但我对未来的前景依然充满期待。
现在的阵痛,是整个软件生态走向更高安全水准的必经之路。更重要的是, AI 仍在以肉眼可见的速度进步。相信这一波之后,整个行业生态都会变得更好。
好了,感慨完毕,我得继续回去处理那堆看不完的漏洞报告了。