AI发现漏洞的速度超过修补速度,行业联盟紧急应对

安全行业正面临被一些人称为”漏洞启示录”的局面。前沿AI模型,包括Anthropic的Mythos和OpenAI的GPT-5.5-Cyber,正以前所未有的速度和深度发现开源软件中的漏洞,人类审计员根本无法企及,将发现到利用之间的时间压缩至近乎为零。

“对于安全团队来说,这将是一个混乱而难熬的夏天,”《The Register》的Jessica Lyons援引Chainguard首席执行官Dan Lorenc的话写道,”我们看到的统计数据令人恐惧,只要你持续扫描同样的代码库和同样的代码,AI就会不断发现更多漏洞。我们还没有看到这条曲线开始触底的迹象。”

为此,两大行业联盟已经成立。

Athena联盟

Athena由Chainguard于6月中旬发起,汇集了整个行业的漏洞发现信息,并通过协调修复流水线进行处理。创始成员包括BNY、Cisco、Cloudflare、Docker、JPMorganChase、Kyndryl和PwC。

该联盟已处理超过20,000条发现信息,在500个开源项目中开发了2,000多个补丁,计划在数周内进行首轮协调公开披露。该流水线采用预保密模式:成员提交来自任何前沿模型的漏洞发现信息,Chainguard作为信息交换中心进行去重和关联分析,受影响库的加固版本在公开披露前私下分发给成员。如果上游维护者无法或不愿修补,Athena将作为”最后手段的维护者”,永久维护分叉版本。

“利用时间已经变为负值,漏洞尚未披露,利用代码就已出现,”Lorenc表示,”Athena的全部工作就是让修复时间变得更负,使得漏洞公开前修复方案已经到位。”

Akrites联盟

Linux Foundation于6月25日推出了Akrites,得到了包括Amazon Web Services、Anthropic、Cisco、Google、IBM、Microsoft and GitHub、NVIDIA、OpenAI、Red Hat、Rust Foundation和JPMorganChase在内的20多个创始组织的支持。Athena专注于运营性修复,而Akrites则建立了共享安全事件响应团队(SIRT)和标准化协调漏洞披露(CVD)流程。

Akrites旨在防止碎片化的补丁格局,数十家公司独立分析相同软件,向维护者涌入重复报告和冲突修复。”如果没有协调,这些修复将分散到不同的补丁和分叉中,”Lorenc告诉《The Register》。

问题的规模

Anthropic的Project Glasswing为漏洞研究提供Mythos的预发布访问权限。该项目报告称,仅5月份就在1,000多个开源项目中发现了6,202个高严重性和关键严重性漏洞。OpenAI的Daybreak计划也采用类似模式运作。发现的漏洞中包括”Squidbleed”,一个自1990年代以来一直未被发现、广泛部署代码中的内存泄漏问题。

这一挑战具有结构性:任何现代应用中95%的代码都是开源的。当AI模型在第三方库中发现缺陷时,应用安全团队不能简单地自行修复代码。他们必须与上游维护者协调,而其中许多人工作过载、无法联系或已完全放弃了项目。

“对于那些无法修补的项目,Athena将永久维护修复。”

“利用时间已经变为负值,漏洞尚未披露,利用代码就已出现。”

“统计数据表明,你持续扫描同样的代码库和同样的代码,AI就会不断发现更多漏洞。”

来源:It’s looking like a hot, messy summer for security teams as AI finds countless previously hidden vulns(《The Register》,2026年6月27日);Chainguard Launches Athena(Chainguard,2026年6月15日);Akrites Launch(Linux Foundation,2026年6月25日)

婷 翻译

Scroll to Top