LLM与漏洞披露：开源维护者的困境与思考

核心观点

LLM不仅能写代码，现在还能有效地发现代码中的安全漏洞。这一变化正在从根本上改变开源项目的安全维护方式。

关键洞察

• 漏洞发现的民主化：LLM之前受限于上下文窗口，难以理解大型代码库。现在这个问题已解决，任何人都可以让LLM帮忙找漏洞。
• 商业化安全工具：OpenAI Codex Security、Anthropic Claude Code Security等产品正在将对代码的自动安全审查变成服务。
• 维护者压力剧增：NATS Server项目近期收到的安全报告数量激增，很多是LLM发现的。维护者不得不推迟功能开发来修复这些"陈年旧账"。
• LLM的非确定性：不同模型会发现不同问题，同一个模型在不同提示下也可能发现不同问题。这让审查过程像"抽奖"。
• 防御性使用LLM：维护者被迫使用与攻击者相同的工具来提前发现并修复漏洞。

重要引述

"我们发现的东西是日常工作中错过的，是外部人工安全审计错过的，是静态分析器继续错过的。"

"现在感觉作为维护者我们的压力显著增加，在相对较短的时间内，我们的时间和姿态可以在任何时刻被任何一个拥有Claude订阅的人打断。"

意义

这篇文章来自一线开源维护者的真实经历，揭示了AI安全工具的双面性：

• 好的一方面：帮助发现长期被忽视的漏洞
• 坏的一方面：给维护者带来巨大压力，可能导致"安全疲劳"

← 返回首页