文章指出AI正在打破两种漏洞文化：一种是Linux社区传统的低调修复漏洞、暂时保密的做法；另一种是公开讨论漏洞的方式。作者以Copy Fail漏洞为例，说明传统保密修复方式在AI时代难以维持，因为AI能快速分析代码变更并发现潜在漏洞，使得漏洞信息难以控制。

人工智能正在打破两种漏洞处理文化

一周前，Copy Fail漏洞曝光，Hyunwoo Kim立即意识到现有修复措施不足，并于当天分享了补丁。他遵循了Linux网络领域的标准流程：先向封闭的Linux安全工程师名单通报安全影响，同时公开高效地修复漏洞。其目的是通过仅公开原始补丁，对严重漏洞的存在进行"禁运"——只有相关处理人员知晓，并约定数日内保持沉默。

然而有人注意到这一变更后，立即意识到安全隐患并公开披露。随着信息泄露，禁运解除，完整细节随之公开。

这揭示了两种漏洞处理文化的冲突，而人工智能的加速发展将改变这一局面：

协调披露文化
计算机安全领域的主流做法。发现漏洞后私下通知维护者，给予修复时间（通常90天），旨在漏洞公开前完成修复。

漏洞即缺陷文化
Linux社区常见理念，认为内核异常行为都可能被利用。主张快速修复而非刻意关注，依靠海量变更的自然隐蔽性争取补丁时间。

传统模式下后者虽不完美但仍可行，但AI强大的漏洞发现能力使其面临挑战。如今安全补丁激增，审查代码提交的性价比显著提升。AI实时评估每次提交也愈发高效经济[1]。

长周期禁运同样式微。过去90天披露窗口内很少出现重复发现，但如今AI辅助的漏洞扫描团队众多。本案中Kim报告ESP漏洞仅9小时后，Kuan-Ting Chen也独立报告了同一问题。禁运反而增加风险：制造虚假安全感并限制修复力量。

解决方案虽未明确，但超短周期禁运或是可行方向，且需持续缩短。所幸AI既能加速攻击也能强化防御，使过去不现实的短禁运成为可能。

[1] 作者测试Gemini 3.1 Pro、ChatGPT-Thinking 5.5和Claude Opus 4.7时，三者都能立即识别f4c50a403的安全补丁。仅提供差异代码时，各模型判断出现分歧。该测试仅作可能性演示，实际效果需进一步验证。

（注：原文中其他博客推荐、导航菜单等非核心内容已省略）

总结评论内容：

1. AI加速漏洞利用的观点（支持）

• "AI将大幅缩短更新窗口，2026年将是最糟糕的一年"（miki123211）
• "任何Linux合并到主线的代码都会立即被多个组织通过LLM分析漏洞"（tptacek）

2. 现有安全模式失效的担忧

• "Debian等项目的缓慢稳定哲学可能完全失效"（Analemma_）
• "协调披露规范已不适应AI时代，过去十年就已过时"（tptacek）

3. 反对夸大AI影响的意见

• "这更像是旧问题被重新包装成AI问题"（rikafurude21）
• "快速测试不能说明问题，提问方式会引导AI输出"（xiaoyu2006）

4. 防御与攻击的军备竞赛

• "安全风险变成谁愿意花费更多token的竞赛"（j2kun）
• "AI既加速攻击者也能帮助防御者"（JumpCrisscross）

5. 系统性安全建议

• "应该将计算模型视为'黑暗森林'而非友好社区"（cryo32）
• "需要建立真正的CI/CD并广泛使用AI"（papichulo2023）

6. 当前安全形势的严峻性

• "美国处于网络战争状态，主要服务频繁遭受攻击"（Animats）
• "零日攻击过去很罕见，现在已成常态"（Animats）

关键引用保留： - 英文："the whole philosophy of slow and steady with old code just won't work"（Analemma_） 中文："缓慢稳定使用旧代码的整个哲学将不再有效" - 英文："It has been over a decade since any ordinary off-the-shelf closed-source software was meaningfully obscured from serious adversaries"（tptacek） 中文："普通闭源软件对严肃对手的有效遮蔽已失效十余年"