Google将不再接受AI生成的开源软件漏洞报告,但正在资助一项使用AI加强开源代码安全的单独项目。
Google开源软件漏洞奖励计划团队日益关注AI生成的漏洞报告质量低下问题,其中许多报告包含对漏洞触发方式的幻觉,或报告安全影响极小的错误。
Google在博客文章中写道:"为了确保我们的分级团队能够专注于最关键的威胁,我们现在将要求对特定等级提供更高质量的证明(如OSS-Fuzz复现或合并补丁),以过滤掉低质量报告,让我们专注于现实世界的影响。"
Linux基金会也发现AI生成的漏洞报告数量过于庞大,已向包括Google、Anthropic、AWS、微软和OpenAI在内的AI公司寻求财务帮助来解决这个问题。这些公司共同向基金会贡献了1250万美元,用于改善开源软件的安全性。
Linux内核项目的Greg Kroah-Hartman在博客文章中表示:"仅仅提供资助资金无法帮助解决AI工具今天在开源安全团队上造成的问题。OpenSSF拥有支持众多项目所需的活跃资源,这将帮助这些超负荷工作的维护者处理和分类他们目前收到的增加的AI生成安全报告。"
资金将由开源安全项目Alpha-Omega和开源安全基金会(OSSF)管理,并将用于为维护者提供AI工具,帮助他们处理AI生成的提交量。
Alpha-Omega联合创始人Michael Winser表示:"我们很兴奋能为支撑我们世界的数十万个项目提供以维护者为中心的AI安全协助。"
Q&A
Q1:为什么Google停止接受AI生成的漏洞报告?
A:因为AI生成的漏洞报告质量低下,许多报告包含对漏洞触发方式的幻觉或报告安全影响极小的错误,影响了团队处理真正重要威胁的效率。
Q2:AI公司向Linux基金会投资了多少钱?用来做什么?
A:Google、Anthropic、AWS、微软和OpenAI等公司共同向Linux基金会贡献了1250万美元,用于改善开源软件安全性,并为维护者提供AI工具来处理大量AI生成的安全报告。
Q3:OpenSSF和Alpha-Omega在这个项目中起什么作用?
A:这两个组织将负责管理1250万美元的资金,并利用这些资金为开源项目维护者提供AI工具,帮助他们更好地分类和处理增加的AI生成安全报告。
热门跟贴