AI正在摧毁“漏洞报告文化”？最新AI的分析能力使得隐藏补丁变得不可能

📰 新闻概要

• AI加速漏洞识别: 最新的AI模型能够仅通过分析公开代码的修复（补丁），立即识别出修复了何种漏洞。
• 同时发现漏洞: 在漏洞报告后的短短9小时内，其他独立人士报告相同问题的案例不断增加，漏洞发现的竞争愈发激烈。
• 传统安全文化的局限性: 诸如“偷偷修复（Bugs are bugs）”文化和“90天保密（Coordinated disclosure）”等现有手段，正因AI的加速而逐渐失效。

💡 重要观点

• 最新AI的惊人辨别能力: 2026年的最新模型如Gemini 3.1 Pro、ChatGPT-Thinking 5.5和Claude Opus 4.7，测试表明即便只提供缺乏上下文的代码差异（diff），也能以高概率识别为“安全补丁”。
• 保密期的无效化: 随着AI辅助扫描的常态化，保持信息秘密直到修复完成变得越来越困难。

🦈 鲨鱼的眼（策展人的视角）

AI的进化让过去的“善意隐藏”变得不可能，真是相当严峻鲨鱼！以前，黑客可能会将漏洞混入Linux内核的大量提交中，以“只是修复一个bug”的名义来处理漏洞，但现在的AI全天候监控提交日志，能够在毫秒内识别可疑差异鲨鱼。换句话说，一旦修复发布，就有可能被AI分析作为攻击线索的风险存在鲨鱼！值得一提的是，多个团队几乎同时发现相同漏洞的“发现的同时性”现象，9小时内被发现，简直使得保密期（embargo）本身就增加了“被攻击者抢先”的风险鲨鱼！

🚀 未来将如何发展？

未来保密期将会越来越短，最终将形成“数天”到“数小时”的超短期保密，成为主流鲨鱼。防守方也必须利用AI，强制实现从发现到补丁应用、公开的“超高速安全周期”，接近实时的速度鲨鱼！

💬 春鲨的看法

在AI无所不知的时代，隐藏信息已毫无意义鲨鱼！只有以正面交锋的速度取胜，修罗时代的序幕已经拉开鲨鱼！！🦈🔥

📚 术语解说

• 保密期 (Embargo): 从发现漏洞到修复准备完毕之间，相关人员之间保持信息不公开的时间段。

• 协调漏洞披露 (Coordinated Disclosure): 发现者向供应商非公开报告，并在修复补丁准备好时同时公开的一般安全惯例。

• 差异 (diff): 程序修改前后的不同之处。AI具备从这微小的变化中推测漏洞类型的能力。

• 信息来源: AI is breaking two vulnerability cultures