AI十倍速扫描开源代码，漏洞被批量挖出，开源生态迎来新困境

快速阅读：AI 驱动的代码扫描器正在以十倍速“剥离”开源软件中的漏洞。这虽然能提升长期的软件安全性，但短期内会让开源维护者陷入无休止的修补压力中，甚至引发开源生态的治理危机。

代码里的漏洞一直都在，只是现在大家终于知道了。

这听起来像个悖论：发现漏洞难道不是好事吗？就像数学证明中的瑕疵，被指出时虽然让人沮丧，但总好过后续研究建立在错误的假设之上。问题的核心不在于漏洞本身，而在于发现漏洞的成本正在发生阶跃式的变化。

以前，深挖漏洞需要极高的专业知识和长时间的投入；现在，只要有人愿意消耗 Token，LLM 就能像矿工进行“剥离式开采”一样，大规模、低成本地扫荡任何公开的代码库。

这种变化正在把开源维护者推向极限。对于那些靠业余时间维系的开源项目，这种密集的漏洞报告简直是灾难。有观点认为，这本质上是一种容量问题：当漏洞发现的速度超过了人类修复的速度，系统就会进入长期的不安全状态。

更有意思的是，这种压力正在改变开源的本质。有人担心，如果维护者必须在周末甚至凌晨处理 AI 扫出来的“垃圾报告”或真实漏洞，他们可能会选择闭源，或者干脆放弃维护。

这种“剥离时代”让安全性的逻辑发生了位移。如果漏洞的发现变得像流水线一样廉价，那么“隐蔽性”就彻底失效了。

你会发现，原本属于安全研究者的专业领域，正在变成一种自动化的、规模化的工业生产。当扫描器开始大规模涌入，开源软件的护城河正在被 AI 重新定义。

我们最终会迎来一个更安全的平衡点，但在到达那里之前，过程会非常难熬。

metabase.com/blog/strip-mining-era-of-open-source-security