战绩的含金量
23 年是什么概念:这段代码经历了无数双人类眼睛、静态分析工具和模糊测试的洗礼,漏洞依然活到了今天。AI 能揪出它,靠的不是魔法而是不知疲倦:模型可以把人类审查者不愿意逐行细读的古老角落全部读一遍,对跨函数、跨文件的隐蔽逻辑错误保持同样的注意力。发现经过了人类安全研究者的确认和正常的披露流程,这一点很重要,AI 报告漏洞的可信度危机正是当下的痛点。
攻防天平的拨动
每次这类新闻都会引出同一个问题:同样的能力,攻击者也拿得到。乐观的答案有依据:防守方坐拥代码和上下文,AI 审计的效率红利理论上偏向防守;悲观的答案同样有依据:防守需要修完所有漏洞,攻击只需要找到一个,效率工具对「只要一个」的一方加成更直接。可以确定的是中间态消失了:还没把 AI 审计纳入安全流程的组织,等于单方面放弃了新武器。内核都被翻出 23 年的陈年漏洞,谁家的代码敢说自己干净。
via: Hacker News