北京
一个能让攻击者直达数百万代码仓库的漏洞,从被发现到被堵上,只给了GitHub不到六小时。
更棘手的是,这个漏洞是AI模型挖出来的——而且没人说得清具体是哪个模型。安全研究的规则书,正在被改写。
漏洞发现:AI成了挖洞主力
Wiz Research团队上个月用AI模型扫描GitHub内部基础设施时,触发了警报。他们发现的是远程代码执行漏洞,攻击者可以借此访问数百万公共和私有代码仓库。
「这是首批用AI在闭源二进制文件中发现的重大漏洞之一,标志着漏洞发现方式的转变。」Wiz安全研究员Sagi Tzadik的原话。
「用AI发现」具体指什么?原文没说。是静态分析?模糊测试?还是让模型直接读汇编?Wiz没透露模型名称,也没解释技术路径。这种信息黑洞本身就很说明问题——当AI成为生产工具,连发现者都可能说不清黑箱里发生了什么。
对GitHub这类托管全球90%开源代码的平台,闭源二进制里的漏洞比开源代码更危险。开源至少能被众人审视,闭源二进制则是真正的暗箱。
六小时响应链:40分钟复现,1小时出补丁
GitHub首席信息安全官Alexis Walesa披露了完整时间线:
安全团队收到漏洞报告后,40分钟内完成内部复现并确认严重性。工程团队定位根因后,仅用1小时出头就开发出补丁并部署上线。从报告到修复,全程不到六小时。
「两小时内我们已完成验证、部署修复到github.com,并完成取证调查确认无实际利用。」Walesa的表述。
这个速度在漏洞响应领域属于顶级水准。作为参照,行业平均漏洞修复周期通常以天甚至周计。GitHub能做到六小时,依赖的是预置的应急响应流程和工程团队的权限——能直接对生产环境热修复,无需层层审批。
但速度背后有隐忧。Wiz的警告很直接:这个漏洞「 remarkably easy to exploit(极易利用)」,尽管GitHub底层系统极其复杂。
复杂系统里的简单漏洞,往往是最致命的。攻击者不需要理解GitHub的全部架构,只需要找到那个被忽略的输入点。
漏洞赏金与尴尬的时间线
GitHub给这个漏洞开出了漏洞赏金计划中的最高档奖励。Walesa的评价是:「这一级别和严重程度的发现极为罕见,提醒我们最具影响力的安全研究来自懂得如何提出正确问题的熟练研究者。」
「懂得如何提出正确问题的熟练研究者」——这句话放在AI发现漏洞的语境下,语义变得模糊。是Wiz的研究者?还是他们调教的AI模型?或者是两者协作?原文没给答案。
更尴尬的是时间线。这次漏洞发现前几天,GitHub刚经历一次重大故障:部分用户的已合并代码被随机回滚。上周还有其他中断事故。员工担忧被报道后,平台稳定性问题正在累积。
安全响应再快,也掩盖不了基础设施的脆弱性在增加的事实。
AI挖洞的三个未解问题
这次事件暴露了AI辅助安全研究的几个核心张力:
第一,发现权归属模糊。当AI模型指出漏洞位置,人类研究者的贡献如何量化?赏金该发给谁?Wiz没透露AI参与的具体环节,但「用AI发现」已经成为他们对外传播的核心标签。
第二,闭源系统的防御困境。GitHub的内部git基础设施是闭源二进制,传统上依赖内部审计和有限的外部测试。AI模型可以规模化扫描这类黑箱,意味着闭源不再等于安全。攻击者和防御者同时获得了新工具,但攻击者可能用得更激进。
第三,响应速度的天花板。六小时修复是GitHub的极限,不是行业的常态。大多数组织没有GitHub的工程资源和权限结构。当AI让漏洞发现速度指数级提升,修复能力的差距会被放大。
Wiz强调这是「首批」AI发现的闭源二进制关键漏洞。首批意味着后面还有批量。安全研究的供给侧正在变化,需求侧还没准备好。
GitHub的连锁麻烦
把这次漏洞放在更大的图景里看,GitHub正面临多重压力测试。
代码回滚故障、服务中断、员工担忧被媒体报道——这些发生在漏洞发现的前一周。平台稳定性问题与安全漏洞问题叠加,指向同一个问题:GitHub的基础设施复杂度已经超出人类团队的全局掌控能力。
AI辅助发现漏洞,某种程度上是这种复杂度的副产品。当系统复杂到人类难以穷尽所有攻击面,让机器去扫描成为必然选择。但这也意味着,漏洞发现的节奏将不再受人类研究者的体力限制。
GitHub的六小时响应是标杆,也是警示。标杆在于证明了快速修复的可能性;警示在于,这种速度依赖特定的组织能力和资源投入,不可复制。
更深层的问题是:当AI成为漏洞发现的标准工具,漏洞赏金市场的经济学如何重构?研究者的技能定义如何变化?闭源软件的安全模型是否还有效?
GitHub这次事件没有给出答案,只是把问题推到了所有人面前。六小时修复了一个漏洞,但修复不了背后的系统性张力。
当AI开始批量挖掘闭源系统的漏洞,防御方的响应速度天花板在哪里?如果攻击者也用同样的AI工具,时间窗口会不会从六小时压缩到六十分钟?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
