AI发现的漏洞超过开源团队修复能力，互联网面临风险

dootbear

彭博社：AI发现的漏洞超过开源团队修复能力，互联网面临风险

Anthropic的Mythos等AI工具能够比小型团队更快发现威胁和漏洞，但修复速度跟不上，令互联网安全面临风险。

2025年，开源工具cURL的主要维护者斯滕伯格（Daniel Stenberg）共收到181个漏洞或安全问题通知，而他仅与另外六名志愿者共同维护这套代码。

斯滕伯格在瑞典办公室表示：这一数量大致相当于前两年的总和。“去年有一段时间非常紧张”。

事后来看，2025年的增长，斯滕伯格认为主要源于OpenAI的ChatGPT和Anthropic的Claude等AI工具普及，使填写漏洞报告更加容易，只是一个开端。

截至今年4月9日，cURL团队已收到87个请求，预计2026年全年将达到约325个报告，接近2020至2023年的总和。

作为项目中唯一的全职成员，斯滕伯格需要亲自处理大部分问题。他说：“有时确实让人不堪重负”。随着AI能力持续增强，这种情况还会恶化。

随着Anthropic发布最新模型Mythos，从安全专家到美国财政部等多方开始担忧互联网是否仍能保持安全。英国银行下周将获得Mythos使用权限。Anthropic表示，该模型可自主发现并利用“零日漏洞”，即尚未被发现的系统弱点，覆盖主要操作系统和浏览器。“其影响，对经济、公共安全和国家安全，可能极其严重。”

为降低风险，Anthropic未将Mythos广泛开放，而是仅提供给约40家机构的核心代码维护者，包括CrowdStrike和Linux基金会，同时还宣布提供400万美元资金支持部分软件维护团队。OpenAI也推出了类似模型GPT-5.4-Cyber，用于发现软件漏洞。

然而，这笔资金，相较其140亿美元年收入只是极小部分，也揭示了一个现实：

大型科技公司的高估值，在一定程度上依赖于由资源有限的小团队维护的开源软件。

人们希望Mythos在正确使用下，能够在其他AI发现漏洞前提前修复。但目前来看，随着攻防双方竞相使用AI，这些小团队正成为瓶颈，其工作量增长速度远超处理能力。

漏洞激增压力

随着代码维护和漏洞修复的进行，软件会积累所谓“遗留残留代码”，这些旧代码可能引发问题或被利用。cURL目前代码已达592,566行，微小修改也可能影响其他部分，维护难度极高。

有时问题会带来严重后果。大型互联网宕机常源于代码错误。2021年发现的一个开源Java库漏洞影响了93%的云环境，至今仍被利用。

12年前，OpenSSL中一个重大漏洞，“心脏出血”（Heartbleed），被发现，该漏洞存在超过两年，影响数千网站，最终由极少数维护者紧急修复。

Linux基金会负责人泽姆林（Jim Zemlin）表示，维护者呈现“幂律分布”，少数人承担了大部分工作。

随着ChatGPT等生成式AI工具普及，查找代码问题的能力大幅提升，黑客利用AI发现漏洞的能力也同步增强，导致漏洞报告激增。

斯滕伯格并非个例。多位开源维护者表示工作量暴涨，有人形容情况“令人害怕”，甚至像遭遇DDoS攻击。

Mythos带来的变化

自2025年底以来，漏洞报告的数量和质量均显著提升。AI代理不仅发现问题，还能自动提交报告。

斯滕伯格表示：“这些AI工具现在非常擅长发现问题。”过去半年cURL已修复200多个由AI发现的问题。

但问题在于，发现问题的AI数量增加，而修复问题的人并未增加。目前人类仍是最后一道关卡。

Mythos未来或可缓解压力。Linux维护者格雷格·克罗阿-哈特曼（Greg Kroah-Hartman）表示，自今年2月起，“世界已经改变”，AI开始大规模发现真实问题。

泽姆林表示：“这工具确实有助于修复漏洞。”因此Anthropic优先向“可信方”开放。

不过，AI带来的压力也已显现。漏洞赏金项目因AI生成报告过多而暂停。谷歌和互联网漏洞奖励项目均已收紧或暂停。

若Mythos能力如预期强大，未来漏洞报告将从外部涌入变为内部爆发，进一步压垮维护团队。

仅复活节当天，斯滕伯格就收到5个安全报告。他平均需约两小时修复一个问题，复杂问题耗时更长。

他说：“我担心这不可持续。我们需要保持理智，才能继续坚持。”





来源：

https://www.bloomberg.com/news/a ... ?srnd=homepage-asia

By Chris Stokel-Walker
April 17, 2026 at 5:30 PM GMT+10

dootbear

本文要点:

1. AI发现漏洞能力大幅提升，但开源团队修复能力有限，形成严重不平衡。

2. 小型维护团队成为互联网安全瓶颈，工作量激增带来巨大压力。

3. Mythos等AI工具既是风险来源，也可能成为解决方案。

4. 开源生态对全球科技体系至关重要，但长期资源不足问题凸显。

5. 若趋势持续，漏洞报告洪流可能进一步冲击网络安全体系稳定性。

吃貨一個

可以再让AI进行修复。这就是AI的矛与盾之争，最后得利的是AI公司的老板们。

superdigua

最终, 所有软件, 都需要由 AI 重新构造.

芯片设计也一样.

疯狂宇宙

逐渐AI会发现软件系统被攻常常是社会工程学导致，为了保证系统的绝对安全，解决最后的安全隐患，最终对操作软件系统的人类下手

李十三

那就多招些人去修复。很多被裁员的人才。

KiwiBear

李十三 发表于 2026-4-19 10:35
那就多招些人去修复。很多被裁员的人才。

修复这些底层的代码对技术的要求非常高

很多被裁员的都是Boot camp毕业的混子

hikeman

AI就是这样逐步接管世界的，才刚开始。

zhuzhu007

那当黑客是不是好时候啊？用ai发现了漏洞然后直接攻击就行啦，反正他们修不过来的。银行卷商之类的是不是会最先被攻击，毕竟有钱赚嘛。只要别攻击政府给我发的养老金就行，别的我也操不起这心了

dootbear

zhuzhu007 发表于 2026-4-19 10:18
那当黑客是不是好时候啊？用ai发现了漏洞然后直接攻击就行啦，反正他们修不过来的。银行卷商之类的是不是会 ...

你有3m的super，就不要惦记政府的pension了

dyzinsyd

黑客也开始训练专属大模型了吗？

zhuzhu007

dootbear 发表于 2026-4-19 10:27
你有3m的super，就不要惦记政府的pension了

熊版说笑了，我要真有三百万那我直接提现跑路，回国养老去啦

hehebear

dyzinsyd 发表于 2026-4-19 10:33
黑客也开始训练专属大模型了吗？

不用自己训练，那太累了，现成的开源大模型去掉防护就可以用来干坏事了

limuc1

ai干掉人类的漏洞，之后ai互相干，

achilles

开源软件的噩梦

zpai

为什么不是AI修复
只管杀不管埋？！

csz86

AI能不能全部重写那些开源工具，比如cURL？这样也就没有必要维护了。