夜雨聆风上一篇聊了 Nginx Rift 漏洞和 nginx-poolslip 传闻。
很多人看到“0day”“RCE”“ASLR bypass”“最新版本受影响”这些词,第一反应就是:是不是又来核弹了?
但我当时就说,比起纠结某一个传闻是真是假,更值得讨论的,是一个正在发生的、更大范围的变化:
AI 时代,漏洞是不是会越来越多?
我的判断是:AI 不一定让漏洞变多,但一定会让漏洞更难藏。
更准确地说,AI 不是让漏洞第一次出现,而是让过去藏在复杂系统里、甚至藏在少数人手里的漏洞,更难继续保持沉默。
今天这篇文章,就是把这个判断彻底拆开,一次讲清楚。
AI 没有制造漏洞,只是降低了发现成本
先说一个很容易被误读的点。
很多人看到 AI 辅助挖洞、AI 做代码审计、AI 辅助逆向,第一反应是:“完了,AI 要造出更多漏洞了。”
但漏洞不是 AI 发明出来的。
那些边界条件、内存管理问题、状态竞争、模块组合导致的逻辑错误,早就藏在代码里了。过去只是发现它们太贵、太慢、太依赖少数专家。
AI 改变的不是漏洞本身,而是发现漏洞、理解漏洞、复现漏洞、传播漏洞的成本。
过去看大项目源码,需要长期经验积累; 过去理解复杂调用链,需要大量上下文和调试; 过去分析补丁、定位漏洞点,需要很强的逆向和审计能力; 现在 AI 可以辅助阅读代码、总结逻辑、归纳危险模式、生成验证思路。
过去只有少数专家能做的分析,现在可能被更多研究者复制和扩展。
所以,最根本的那句话其实是:
AI 不是漏洞的源头,复杂性才是。AI 只是把复杂性里的问题照亮了。
漏洞公开,不代表漏洞刚刚出现
既然发现成本在降低,那么一个直接的结果就是:我们会看到更多漏洞被公开。
但这里有一个认知陷阱,必须说清楚。
我们常常把“漏洞被公开披露”误解成“漏洞刚刚出现”。但现实很可能不是这样。
很多漏洞在被写进 CVE、进入安全公告、出现在媒体标题之前,可能已经在代码里存在了很多年。
更极端一点,有些漏洞甚至可能早已被黑产、APT 或少数高水平攻击者掌握,只是它们没有公开,没有进入普通企业和普通安全团队的视野。
换句话说:
公开披露只是“被看见”的时间点,不一定是“产生”的时间点; CVE 是公开世界的记录,不等于漏洞生命周期的起点; 某些漏洞可能长期处在灰色地带; 攻击者可能已经知道,防守者却不知道。
过去,一个复杂漏洞可以长期处在这种信息差里:攻击者悄悄用,厂商不知道,防守方也不知道。
但当 AI 降低代码审计、补丁分析、逆向理解和复现推理的成本后,这些隐藏在复杂系统里的问题,就更容易被更多研究者翻出来。
所以 AI 带来的变化,不只是“发现了更多漏洞”,而是让过去只属于少数人的漏洞发现能力开始扩散。
基础设施软件的漏洞,本质来自复杂性
顺着这个逻辑往下看,你就会发现,有一类软件会反复出现在新闻标题里:
Linux 内核、OpenSSL、Nginx、Apache、数据库、中间件……
它们不是因为“不安全”才被频繁关注,而是因为它们太重要了。
越重要的软件,越值得被反复研究;越复杂的软件,越容易在边界条件里积累安全债。
基础设施软件的特点是什么?
使用范围广,暴露在公网; 历史包袱重,代码年代久远; 性能优化多,存在大量非直觉设计; 模块复杂,组合状态空间巨大; 边界条件多,一旦出问题影响面巨大。
复杂软件不会因为运行了很多年就没有漏洞,只能说明那些漏洞还没有被足够便宜、足够系统地发现。
AI 做的,就是让“足够便宜、足够系统”成为可能。
所以未来我们大概率会看到更多基础设施软件的安全公告。不是它们突然变差了,而是它们身上的安全债正在被更快地清算。
AI 正在压缩漏洞发现到武器化自动化的周期
现在我们再回到 AI 的影响。
过去漏洞生命周期大概是:发现 → 分析 → 复现 → 写 PoC → 披露 → 补丁 → 扫描利用。
AI 之后,每一步都可能被加速。
AI 辅助代码审计; AI 辅助补丁 diff; AI 辅助生成复现思路; AI 辅助批量分析资产; AI 辅助写扫描规则; AI 辅助整理攻击链。
AI 最危险的地方,不一定是直接写出一个 0day,而是让整个漏洞传播和武器化链条变快。
过去从漏洞披露到大规模利用,中间可能还有一段缓冲期。但 AI 会压缩这个窗口。
补丁刚发布,攻击者可以更快分析 diff;公告刚出来,扫描规则可能很快出现;PoC 刚公开,资产批量匹配就会跟上。
开源会先难看,然后更安全
这个变化对开源项目的影响尤其直接。
短期看,AI 辅助漏洞挖掘会让开源项目看起来更“危险”:
CVE 变多; 补丁更频繁; 安全公告更多; 运维压力更大; 外界觉得“怎么天天出漏洞”。
但长期看,这是一个去安全债的过程。
问题被看见,成因被讨论,补丁可追踪,经验可复用,工具链会沉淀。
开源项目不是因为被看见才危险。相反,漏洞被看见、被讨论、被修复,才是安全能力成长的过程。
闭源软件不是没有漏洞,只是它的漏洞更难被公开验证和系统性发现。在 AI 打破信息不对称的趋势下,这种“隐藏的不确定性”可能会越来越成为一个劣势。
真正的压力在修复侧
AI 让漏洞发现速度变快,但不会自动让企业修复速度变快。
这才是防守方最需要正视的问题。
未来漏洞管理的核心,不只是“知不知道有漏洞”,而是能不能在更短时间内判断:
我有没有受影响? 哪些资产受影响? 能不能立刻升级? 不能升级时有没有缓解措施? 修完以后怎么验证? 有没有日志可以回溯? 整个响应链路是否经得起反复跑?
这不是一个工具能解决的,这是一整套组织能力。
资产清单、版本识别、风险评级、补丁验证、临时缓解、灰度发布、回滚方案、日志监控、复盘机制——这些才是安全团队真正的肌肉。
AI 降低发现成本,不降低判断成本
最后,收回到个人的判断力上。
AI 能帮你读公告,能帮你总结漏洞,能帮你分析 PoC,甚至能帮你写检测脚本。
但它不能替你判断一个漏洞对你的业务到底有多大影响。
它也不能替你承担误判、漏判、误报、误修带来的责任。
AI 降低的是信息处理成本; AI 降低的是初步分析成本; AI 提高的是攻击和防守双方的效率; 但真正稀缺的,永远是判断力。
AI 降低的是发现成本,不是判断成本。
安全从业者未来的价值,不会体现在“我知道某个 CVE”,而体现在“我能判断这个 CVE 对我的环境意味着什么,并且能推动响应落地”。
