新智元报道
【新智元导读】AI大幅加速漏洞发现进程,Linux内核安全团队报告量从每周2-3份激增至每日5-10份,且多为真实漏洞。传统安全规则正被AI技术重构。
近期,Linux内核维护者Willy Tarreau在LWN平台披露安全报告激增现象。其数据显示,安全报告量从两年前每周2-3份,攀升至当前每日5-10份。更值得注意的是,这些报告中有效漏洞占比极高,且常出现多团队使用不同AI工具重复提交同一漏洞的情况。
Tarreau作为Linux内核安全列表核心成员及haproxy项目创始人指出,AI挖掘漏洞能力已触及临界点:AI报告漏洞速度可能超过人类编写漏洞的速度。多个模型可在未知情状态下同时发现同一历史遗留漏洞。
Pebblebed Ventures安全研究员Jenny Guanni Qu通过分析Linux内核20年Git历史发现:内核Bug平均潜伏期2.1年,13.5%的Bug超过5年,最久漏洞(ethtool缓冲区溢出)潜伏达20.7年。AI技术正加速清理这些"历史积压漏洞"。
技术突破时间线
2025年5月,安全研究员Sean Heelan使用o3模型对ksmbd代码测试时,意外发现其不仅识别已知漏洞,更挖出全新零日漏洞CVE-2025-37899(SMB logoff命令use-after-free漏洞)。这被视为首个明确归因于大模型的Linux内核零日漏洞发现案例。
2026年2月,Anthropic前沿红队将漏洞挖掘推向新高度。其Opus 4.6模型在沙盒环境中,仅凭基础调试工具和通用提示词,人工验证超500个高危漏洞。项目负责人Logan Graham强调:"这是防御者与攻击者的竞赛,需尽快将工具交到防御者手中。"
安全专家Thomas Ptacek指出,漏洞挖掘已发生范式转变:研究人员通过简易bash脚本调用Claude Code,以"在项目里找可利用漏洞"提示词扫描代码库,验证成功率近100%。Carlini团队扫描Ghost系统时,仅90分钟便定位到关键SQL注入漏洞。
安全规则的系统性重构
Tarreau提出三大变革趋势:
第一,传统漏洞禁运制度将失效。当同一漏洞被多方AI同日发现,30-90天补丁窗口期失去意义,"禁运已无价值"。
第二,"安全Bug即普通Bug"认知将普及。修复需定期更新全系统,而非仅依赖CVE编号列表。
第三,"发布即消失"开发模式终结。项目维护者必须持续投入安全维护。
LWN社区开发者fw强调,旧有闭门处理模式已崩溃,需转为公开漏洞与修复方案的社区协同机制。Ptacek进一步警示:闭源体系仅提供"减速带"功能,AI对程序结构的深度解析能力正瓦解传统安全架构。
行业结构性挑战
漏洞挖掘成本发生根本性转变:传统需专家数周高强度审计的内核零日漏洞,现可通过bash脚本+API调用90分钟完成。Jenny Guanni Qu研究显示,漏洞暴露周期持续缩短——2022年引入的Bug平均暴露期0.8年,2024年已缩短至5个月。
行业面临双重压力:13.5%潜伏超5年的"历史炸弹"正被加速清理,而无人维护的开源项目无力应对持续涌现的漏洞。正如Peter Steinberger警示:"AI挖洞浪潮将击垮部分开源项目",根源在于志愿者维护者难以匹配AI驱动的漏洞发现速度。
行业未来展望
Tarreau在结论中表示:"这将是有趣的时代"。虽然短期将经历混乱期,但软件质量可能提升至2000年前严格测试水准。当前Anthropic已产品化漏洞挖掘能力,Claude Code Security向企业客户提供限量研究预览。
软件质量可能会明显提升,甚至讽刺性地回到2000年以前的水准。那时软件发布前要经过大量测试,只是在更新变得容易后,这种纪律被削弱了。但在那之前,我们恐怕还要经历几年混乱。
防御方加速武装的同时,攻击方共享同等技术能力。密码学家Matthew Green提出关键疑问:"我们究竟变得更安全,还是更不安全?"当前可确定的是:AI漏洞发现速度将持续提升,影响范围将从Linux内核扩散至各类C/C++基础软件项目。
潜伏20年的历史漏洞终将暴露,真正的挑战在于发现者将选择守护安全,抑或利用缺陷。