两种文化分别是什么
挖掘文化指研究者凭手艺找漏洞、靠声誉和赏金获得回报的生态;披露文化指厂商、研究者、CVE 体系之间多年磨出来的协作规矩。AI 对前者的冲击是产能:自动化工具能批量产出疑似漏洞,其中混着大量误报和「AI 幻觉漏洞」,把赏金平台和维护者的处理管道直接淹了。对后者的冲击是信任:当报告可能是 AI 批量生成的,按惯例认真对待每一份报告的维护者先被拖垮。
已经看得见的后果
curl 维护者公开吐槽 AI 垃圾报告的事还历历在目,如今这是所有知名开源项目的日常。一些项目开始要求报告附带可复现的利用证明,赏金平台提高了提交门槛,这些防御措施同时也劝退了真诚的新人,社区的开放性在收缩。文章的结论不乐观但中肯:旧的漏洞文化建立在「报告稀缺、提交者真诚」的前提上,这个前提没了,新规矩还没长出来,中间这段空窗期最危险。
via: Hacker News