🎯 情报来源:Simon Willison's Weblog
curl维护者Daniel Stenberg近日在Mastodon披露,安全研究员Joshua Rogers通过AI辅助工具集(包括Almanax、Amplify Security等)发现了#curl项目中大量潜在问题。虽然多数是小规模漏洞,但可能包含1-2个实际安全缺陷。截至发稿,项目组已完成49个相关PR合并,其中22个补丁已落地实施。
这一成果尤为值得关注,因为Daniel此前曾公开批评AI生成的垃圾安全报告泛滥问题。2024年5月,他曾在HackerOne表示会立即封禁提交”AI废料”的报告者,称其团队”实际上遭受了DDoS攻击”。但本次事件中,经过专业人员筛选的AI工具输出获得了其高度评价。
💡 核心要点
- 49项修复:GitHub仓库中标记为”Joshua sarif data”的已关闭PR数量
- 22个补丁:当前已完成落地的漏洞修复数量
- 5款工具:使用的AI安全扫描工具(Almanax/Amplify Security/Corgea/Gecko Security/ZeroPath)
- 180度转变:Daniel从”封禁AI报告”到认可”真正惊人的发现”的态度变化
📌 情报分析
技术价值:高
AI工具在静态代码分析中展现出规模化优势,但需配合专业人员筛选(Daniel原话:”只要加入微量人工检查,工具效果就会大幅提升”)
商业价值:一般
虽然证明AI+专家模式的有效性,但工具厂商仍需解决误报率问题(参考curl团队此前遭遇的”AI废料DDoS”事件)
趋势预测:高
标志着AI代码审计进入新阶段:从盲目生成转向人机协同工作流,专业人员的工具驾驭能力将成为关键差异点