LLM 时代漏洞报告不再特殊——Filippo Valsorda 的冷静观察

Filippo Valsorda(Go 安全团队前负责人、Go 语言核心维护者)发表了一篇引发广泛讨论的文章。核心论点直接而尖锐:LLM 已经让「漏洞报告特殊」的前提不复存在。

过去,安全研究人员提供的洞察力和保密协作是稀缺资源,维护者有义务认真对待每一份报告。但 2026 年的现实是——LLM 在发现漏洞方面已不逊色于绝大多数安全研究员,而且任何人都能运行它们。洞察力不再稀缺,维护者的瓶颈从「找出潜在问题」变成了「判断哪些问题真实存在」。外部研究人员的价值贡献面临挑战,因为 LLM 输出的筛选与传统安全收件箱的信噪比已相差无几。与此同时,攻击者同样可以利用 LLM 发现漏洞,保密和协调的重要性相对下降。

Valsorda 认为,安全团队的新任务应是建立更好的验证机制,将 LLM 分析集成到 CI 流水线中,从根本上减少漏洞的产生——而非依赖外部报告者的善意。

阅读原文