项目的问题意识
项目的出发点是个剪刀差:一边,AI 让代码产量暴涨,平均审查深度必然下降;另一边,全世界的关键系统恰恰跑在一小撮长期缺钱缺人的开源软件上,OpenSSL 心脏出血、xz 后门,前车之鉴都还冒着热气。Glasswing 的思路是把资源对准这个交叉点:识别最关键、最脆弱的基础软件,投入资金和工程力量做加固、审计和供应链防护,AI 在其中既是风险源也是审计工具。
时机刚刚好
这类倡议过去十年提过很多轮,这次的语境不同:AI 既造成了新的攻击面(生成代码的漏洞、被投毒的依赖、自动化的漏洞挖掘武器化),也第一次让大规模代码审计在经济上可行(模型扫一遍千万行代码的成本可以接受)。攻防双方都拿到了新武器,谁先把它系统性地用在基础设施上,谁占先手。这个项目能不能成另说,它指出的方向是对的:AI 时代的软件安全,不能再靠志愿者凌晨两点的热情来兜底。
via: Hacker News