【AI 正在颠覆传统漏洞披露文化，网络安全格局彻底变了】

快速阅读：AI 正在瓦解传统的漏洞披露文化。过去依靠“延迟公开”换取修复时间的策略，在 AI 能够自动化扫描补丁并快速生成利用代码的时代，已变得极度危险且低效。

漏洞修复的本质正在从一种“协作艺术”转变为一场“算力竞赛”。

过去，安全界有两种主流逻辑：一种是“协调披露”，给厂商留出 90 天的窗口期，等补丁打好再公开；另一种是“漏洞即漏洞”，认为只要内核有错就赶紧修，试图在海量提交中“躲”过攻击者的眼睛。

但现在，这种“躲藏”变得毫无意义。

AI 像是一个永不疲倦的、拥有顶级专家视角的审查员。只要补丁一合并到主分支，AI 就能瞬间识别出这个补丁是在修补哪个逻辑漏洞，甚至直接给出攻击脚本。正如一个案例所示，在某漏洞修复后仅 9 小时，就有研究者独立发现了安全影响。原本以为是“静默修复”，结果在 AI 眼里这无异于在黑夜里打着手电筒。

有观点认为，这会逼迫行业走向极端：要么是极短的披露窗口，要么是回归闭源或高度中心化的 SaaS 模式，因为只有这样才能在 AI 扫描之前建立起防御屏障。

这不再是关于“如何优雅地修复”，而是关于“如何在漏洞被发现前完成迭代”。如果防御方的补丁周期依然是按“天”甚至“周”来计算，而攻击方的利用生成是按“秒”计算，那么所谓的“安全窗口”不过是给攻击者递了一把更锋利的刀。

当补丁本身就成了漏洞的说明书，我们该如何定义安全？

jefftk.com/p/ai-is-breaking-two-vulnerability-cultures