评分 7.5 · 来源:Simon Willison’s Weblog · 发布于 2026-04-03
评分依据:三位顶级开源维护者的一手观察,AI 对开源安全的真实影响,信息增量高
Simon Willison 引述了三位顶级开源项目维护者对 AI 安全报告的观察,揭示了一个重要转折点。
Willy Tarreau(Linux 内核):
- 两年前安全报告每周 2-3 条,去年达到每周约 10 条,但主要是 AI 垃圾
- 今年初开始每天 5-10 条,而且大多数报告是正确的
- 甚至出现了前所未有的情况:重复报告——不同的人使用 AI 找到了同一个 bug
Greg Kroah-Hartman(Linux 内核核心维护者):
- 「几个月前我们收到的是所谓的 AI 垃圾——明显错误或低质量的 AI 生成安全报告」
- 「一个月前,世界变了。现在我们有真正的报告。所有开源项目都在收到高质量的 AI 辅助安全报告」
Daniel Stenberg(curl 作者):
- AI 在开源安全领域的挑战已从「AI 垃圾海啸」转变为真正的安全报告潮
- 虽然垃圾减少了但报告量巨大,每天花费数小时处理
这与 Thomas Ptacek 的「Vulnerability Research Is Cooked」分析形成了完整的图景——AI 正在从根本上改变漏洞研究的实践和经济学。