技术博主 Jeff Kaufman 最近发表了一篇引发安全社区讨论的文章:AI 正在同时打破两种传统的安全漏洞披露文化。对于管理网站和服务器的站长来说,这个趋势值得了解。
两种传统的漏洞披露文化
文化一:协调披露(Coordinated Disclosure)
这是目前主流的安全实践:发现漏洞后,私下通知维护者,给予约 90 天的修复窗口期,然后再公开漏洞细节。目的是在漏洞被广泛知晓之前完成修复。
这种方式的前提假设是:在修复完成之前,其他人不太可能独立发现同一个漏洞。
文化二:悄悄修复(Bugs Are Bugs)
这是 Linux 内核社区的典型做法:修复漏洞时不特别标注是安全问题,只是悄悄在代码中修复。利用的是代码提交的”噪声量”——每天有大量提交,单个安全修复不太可能被注意到。
这种方式的前提假设是:在大量普通提交中,安全修复不太可能被识别出来。
AI 如何打破这两种文化
最近的 Copy Fail 漏洞事件是一个典型案例:
- 安全研究员 Hyunwoo Kim 发现了 Linux 内核中的一个漏洞并提交了修复
- 他按照 Linux 社区惯例,悄悄提交了修复补丁,同时私下通知了安全团队
- 但另一个人注意到了这个提交,通过分析意识到了安全含义,公开分享了这个信息
- 仅仅 9 小时后,另一位研究员独立报告了同一个漏洞
更关键的是,Jeff Kaufman 测试发现,当前的 AI 模型(Gemini 3.1 Pro、ChatGPT-Thinking 5.5、Claude Opus 4.7)在给定完整上下文时,全部能正确识别出安全相关的提交。
这意味着:
- 协调披露的 90 天窗口变得不安全:AI 可以帮助攻击者在修复之前独立发现漏洞
- 悄悄修复不再隐蔽:AI 可以扫描所有代码提交,快速识别安全相关的改动
对站长的实际影响
- 及时更新是关键:漏洞的隐蔽期正在缩短,不要拖延系统和软件更新
- 关注安全公告:订阅你使用的所有软件的安全公告邮件列表
- 自动化安全扫描:考虑使用 Dependabot、Snyk 等工具自动检测依赖中的已知漏洞
- 备份策略:漏洞被利用的窗口期变短,意味着备份和恢复能力更加重要
作者的建议
Jeff Kaufman 提出了一个务实的建议:缩短漏洞披露的等待时间。在 AI 时代,传统的 90 天窗口期可能太长了。他认为未来应该转向非常短的等待期,随着 AI 能力的提升,这个时间会越来越短。
对于站长来说,最实际的行动是:
- 开启自动安全更新(至少是次要版本更新)
- 使用 WAF(Web 应用防火墙)作为临时防御措施
- 定期检查服务器和网站的安全状态
- 不要依赖”漏洞不被发现”的假设来做安全决策
AI 在安全领域是一把双刃剑:它既帮助攻击者更快发现漏洞,也帮助防御者更快修复漏洞。关键是要缩短从漏洞发现到修复的时间窗口。
© 版权声明
THE END
暂无评论内容