今年4月,安全研究员Himanshu Anand向一家在线商店报告了一个严重漏洞:任何人都能零元购完成交易。对方的回复让他愣住——他是六周内第11个报告同一问题的人。

这不是巧合。Anand在Cloudflare担任防火墙安全分析师,他的团队Water Paddlers曾连续三年闯入DEF CON黑客大赛决赛。他在一篇详细博客中梳理了三个真实案例,结论是:AI语言模型已经瓦解了传统漏洞披露流程的根基。

打开网易新闻 查看精彩图片

过去十年,Google Project Zero推广的90天披露窗口成为行业标准。它建立在四个假设之上:发现者很可能是唯一发现者;即使多人发现,也会各自独立行动;厂商有充足时间编写补丁;补丁发布后,攻击者需要数天甚至数周才能逆向出可用漏洞。

AI正在逐个击破这些假设。

第一个案例已经说明问题:一旦有人用AI工具发现漏洞,"几乎相同的报告浪潮会在几天内涌入"。Anand的追问很直接:如果11个诚实研究者都找到了,有多少找到了却保持沉默?漏洞不再是独家发现,平行发现者也不需要额外时间。

第二个案例更触目惊心。React框架发布安全补丁后,Anand下载了源代码差异文件,借助语言模型构建出可用漏洞。耗时:30分钟。而有经验的逆向工程师过去需要数天。补丁与漏洞之间的安全窗口,这个曾经的缓冲垫,正在消失。

Anand的应对建议很激进:厂商应将关键漏洞视为紧急事件立即处理;研究者应缩短披露时间线;管理员必须即时部署补丁。当AI把补丁转化为武器的速度以分钟计时,90天的绅士协定已成古董。