夜雨聆风你知道的越多,不知道的就越多,业余的像一棵小草!
你关注,我们一起精进!你星标,我们便有了更多故事!
业余时间 Java 种草!
编辑:业余草
推荐:https://t.zsxq.com/vfXEf
历史文章推荐:
Spring 之父回归一线,开源 AI 新框架 Embabel
JDK27 冻结定档,9 个 JEP,G1 全面上位、后量子加密落地
以前,找漏洞是需要悬赏的。无论是苹果、谷歌、华为等巨头都发布过相关的安全漏洞查找悬赏任务,但是现在,随着 AI 的出现,漏洞悬赏方面的大门正式关闭上来。
这不是我说的,阮老师在他的科技周刊里也提到了。原因无它,AI 找漏洞太快了,快到各个生态都面临着巨大的修复压力。
以 Java 中的知名框架 Spring 为例,最近的几个小版本,或者就拿前天发布的 Spring v7.0.8 为例,一次性就修复了 16 个 CVE 安全漏洞。
除此之外,2026 年 4 月,Spring 社区共收到了 482 份安全报告,是历史月均的 74 倍。当 Anthropic 的 Mythos 模型在 FreeBSD 里挖出 20 年前的漏洞、Mozilla 一个月发布 423 个补丁时,整个开源世界正在经历一场前所未有的“安全报告海啸”。Spring 团队最新博客揭示的,不只是一次补丁发布,而是软件安全范式的彻底重构。
Spring 的窒息数字
先看一组令人窒息的数字。
历史平均:Spring 社区每月收到约 6.5 份安全报告 2026 年 3 月:收到 55 份报告(已暴增 8 倍) 2026 年 4 月:收到 482 份报告,其中 370 份来自内部 AI 扫描,112 份来自社区提交 2026 年 5 月:回落至 72 份,但仍为历史均值的 11 倍
Spring 团队在博客中直言,我们不认为报告数量会回到历史水平。这不仅仅是一次异常波动,而是一个新纪元的开始。
更值得关注的是,这 482 份报告中,37% 被识别为重复或无效。也就是说,AI 不仅发现了更多漏洞,还制造了更多的“噪音”,这对开源维护者而言,是双重打击。
不敢发布的 Mythos
要理解这场海啸的源头,必须认识 Claude Mythos Preview。
2026 年 4 月 7 日,Anthropic 做了件史无前例的事:发布了 244 页的系统卡片,然后宣布这个模型不对公众开放。原因就是它太危险了。
Mythos 的能力有多恐怖?
Mozilla 高级工程师 Brian Grinstead 的评价极具代表性:很难夸大这种动态在几个月内给我们带来的改变。Mythos 在 Firefox 中发现了 271 个漏洞,其中 180 个为高危,而 2025 年 4 月,Mozilla 只发布了 31 个补丁。
当然,昨天 Claude Fable 5 和 Claude Mythos 5 已经发布了。
开源维护者压力
AI 安全能力的跃迁,对开源社区造成了三重冲击。
首先是数量上的冲击,维护者被淹没。
其次是质量上的冲击,AI Slop 泛滥。
最后是,心理上的冲击,Burnout 危机。维护者的审查负担呈指数级增长。
Spring 也不例外,官方也是发了一篇博客来诉说苦衷。这也导致了更多的资源投入到漏洞上了,类似 Spring Boot 4.1.x 版本等一些框架上投入就少了一些,以至于原计划昨天发布的 Spring Ampq、Spring Hateoas、Spring Kafka、Spring Integration、Spring Pulsar、Spring Statemachine 等框架大面积延期。
结语
Spring 团队在博客结尾写道,这些是新时期。虽然我们不认为报告增加是单月事件,但我们确实期望随着解决 AI 工具能识别的问题,报告量会减少。
这是一个微妙的乐观,AI 发现了更多漏洞,但漏洞总数是有限的。当“低垂果实”被摘完后,AI 将转向更深层、更复杂的漏洞。而那时,人类维护者和 AI 的协作模式也将成熟。
AI 越来越智能了,但也越来越贵了,强如 Claude Fable 5,20 分钟用完 $200 美元,没有多少人能真正的用得起!
