Jeff Kaufman：AI 同時打破兩種資安漏洞文化、90 天禁運期變反效果

軟體工程師 Jeff Kaufman（jefftk）5 月 8 日發表「AI is Breaking Two Vulnerability Cultures」一文、主張 AI 同時打破兩種長期並存的資安漏洞處理文化—協調揭露（coordinated disclosure）與「靜默修補」（bugs are bugs）—兩種策略所依賴的「攻擊者偵測速度緩慢」前提、都已被 AI 自動掃描技術突破。Kaufman 部落格原文並在 Hacker News 取得超過 200 分熱度、是本週開發者社群討論度最高的資安觀察文章之一。

兩種漏洞文化：協調揭露 vs 「靜默修補」

Kaufman 整理的兩種文化框架：

• 協調揭露（coordinated disclosure）—發現者私下通知維護者、給予典型 90 天修補窗口、再公開揭露。背後假設：攻擊者要花時間獨立發現同一漏洞
• 「Bugs are Bugs」靜默修補—Linux 等開源專案常見作法、修補時不特別標示為安全修復、靠提交流量「淹沒」資安修補、避免引起攻擊者注意

兩種文化過去能並存、是因為攻擊者沒有「快速、自動、低成本」的工具掃描所有提交記錄或同時尋找同一漏洞。AI 改變了這個前提。

AI 對「靜默修補」的衝擊：commit 掃描變便宜

AI 對 Linux 風格開源專案的具體衝擊：

• 過去：攻擊者要逐一審視提交、需要大量人力與時間、「淹沒在提交流量裡」是有效掩護
• 現在：AI 可低成本掃描提交歷史、自動辨識「看起來像安全修補」的 commit、即使作者沒有明說
• 影響：靜默修補的隱蔽性正在快速失效、「修補後等部署」的緩衝期被壓縮

Kaufman 引用具體案例：「審視提交（examining commits）越來越具吸引力」、因為 AI 對每一個變更的評估「越來越便宜、越來越有效」。這意味未來開源專案無法再依賴「修補速度比攻擊者注意速度快」的傳統優勢。

AI 對「協調揭露」的衝擊：90 天禁運期變得反效果

協調揭露文化的核心是「禁運期」（embargo）、發現者承諾在維護者修補前不公開—但 AI 讓多個團隊可同步掃描相同漏洞：

• 具體案例：研究者 Hyunwoo Kim 報告的某漏洞、9 小時後就被獨立發現
• 多個 AI 輔助掃描團隊同步運作、長禁運期反而給予「假性的不急迫感」
• 當其他人 9 小時就能找到、90 天禁運讓真正的攻擊者擁有 89 天 23 小時的攻擊窗口

Kaufman 的結論是：未來應採用「非常短的禁運期」（very short embargoes）、且隨 AI 能力提升越縮越短。重要的是、AI 加速並非單方面利於攻擊者—防守者也能用 AI 加速修補與部署、雙方在壓縮的時間窗內競速。

後續可追蹤的具體事件：Linux Kernel 與 Project Zero 等大型專案是否更新揭露時程指引、AI 自動漏洞掃描工具（Semgrep、CodeQL 等）的商業化進度、以及企業資安部門對「AI 加速雙刃」的具體應對策略。