AI安全猎手的“甜蜜烦恼”：当curl每天收到一份高质量漏洞报告

起因：一场由AI引发的“漏洞海啸”

这件事的起因，是curl项目核心维护者Daniel Stenberg的一篇博客，标题就叫《压力》。curl是什么？它是互联网的基石之一，几乎所有联网设备都在用它进行数据传输。这样一个关键项目，其安全团队突然发现，收到的安全漏洞报告数量达到了历史峰值：是2024年的4-5倍，2025年的两倍，平均每天超过一份。更关键的是，报告质量“远高于以往”，通常非常详细和冗长。Stenberg坦言，这是他职业生涯中前所未有的压力，甚至妻子都开始担心他的工作与生活失衡。

拆解：AI如何改变了安全研究的游戏规则？

这背后的驱动力，正是AI，特别是大语言模型（LLM）辅助的安全研究工具。过去，安全研究员需要深厚的专业知识和大量手动分析来寻找漏洞。现在，AI可以自动化地进行代码审计、模式识别和潜在漏洞挖掘，极大地降低了安全研究的门槛和耗时。这意味着，一个有能力的研究员，借助AI工具，其产出效率可以呈指数级增长。报告质量高，是因为AI能帮助生成极其详细的技术分析，将漏洞的上下文、触发条件和潜在影响梳理得清清楚楚。

趋势洞察：AI正在重塑安全攻防的“人力密集型”本质

这揭示了一个深层趋势：AI正在将安全研究从一项高度依赖专家个人经验的“手艺活”，转变为可规模化的“工业流水线”。过去，发现一个高质量漏洞可能需要一个团队数月的钻研；现在，AI辅助工具可能让个人在几天内产出多个同样质量的报告。这对整个安全生态是双刃剑：一方面，它能以前所未有的速度发现和修补软件漏洞，提升整体安全性；另一方面，它给像curl这样的基础开源项目维护者带来了难以承受的运营压力。这些项目往往由少数志愿者或小型团队维护，资源有限，面对AI带来的报告洪流，很容易陷入疲于奔命的状态。

实用价值：我们该如何看待和应对？

对于IT从业者，尤其是开发者和安全工程师，这件事有几点启示： 第一，重新评估开源依赖的风险与责任。你项目中依赖的每一个基础库，都可能成为AI安全研究的靶子。需要更主动地关注这些依赖项的安全公告和维护状态。第二，思考AI工具在自身安全流程中的应用。无论是用于内部代码审计，还是自动化漏洞验证，AI安全工具正从前沿走向必备。第三，理解并支持开源维护者。他们是数字世界的无名英雄，AI加剧的压力需要社区以新的方式（如资金、自动化工具、分担审查）来提供支持。

反常识/意外：压力之下，也有积极信号

一个容易被忽略的积极点是：尽管报告数量激增，但curl团队发现，近年来几乎没有发现“可怕”的高危漏洞，绝大多数被评为低危或中危。最近一个高危CVE还要追溯到2023年10月。这说明，curl本身经过长期打磨，核心代码已经非常健壮。AI目前擅长发现的，更多是那些边缘情况、特定配置下的问题，而非核心架构缺陷。这或许表明，AI在安全领域的角色，正从“发现致命漏洞”向“大规模清理已知模式的潜在问题”演变，这本身也是一种安全水位的提升。

---

原文地址: The pressure