漏洞报告不再特殊

# 漏洞报告不再是特殊待遇了 来源：https://words.filippo.io/vuln-reports/ 2026年6月23日 作为开源维护者，想在公众面前保持心平气和，关键是要意识到：每一个 issue、PR 和反馈都是一份礼物，而不是一项义务。你可以接受它、忽略它，也可以部分采纳或完全不采用。 但有个例外…… 多年前，我担任 Go 安全团队负责人时，[1](https://words.filippo.io/vuln-reports/#fn:lead) 曾对新团队成员说，这条规则不适用于漏洞报告。不，漏洞报告是特殊的。安全研究人员选择私下报告而非完全公开披露，是在帮我们忙，所以我们理应有所回报——这和普通 issue 跟踪器上的问题性质完全不同。[2](https://words.filippo.io/vuln-reports/#fn:coc) 不同项目有不同的政策，但普遍期望是：及时响应和署名致谢。我们应该快速确认收到报告，展开调查，向报告者同步进展，并最终在发现中给予他们应有的认可。 为什么？因为报告者是在为我们提供服务，而不是在向我们寻求服务（比如修复 bug 或实现功能）。他们用宝贵洞察和保密性，换取了我们的响应和致谢——而保密性正是我们在攻击者利用漏洞前发布修复所必需的。[3](https://words.filippo.io/vuln-reports/#fn:discl) 归根结底，这一切都源于我们对用户的责任。安全研究人员并不特殊，特殊的是他们的洞察和保密性，我们需要这些来保护用户安全。忽视安全报告意味着你不在乎用户安全，这理应让人感到羞愧。 但…… 现在是2026年，这些前提都不再成立。 大语言模型几乎和任何安全研究人员一样出色，[4](https://words.filippo.io/vuln-reports/#fn:ymmv) 而且任何人都能运行它们。维护者可以运行它们，攻击者也可以运行它们。 洞察不再稀缺和珍贵。现在的瓶颈不是发现潜在问题，而是判断哪些是真正存在的问题。除非已经有信任关系，外部研究人员无法有意义地参与这个筛选过程，而从大语言模型的输出或 `security@` 收件箱中挑拣问题，信噪比也相差无几。 保密性、禁令和协调的重要性也大不如前。攻击者不需要阅读完整披露文章来了解漏洞——他们可以问自己的大语言模型，事实上，他们和防御者一样，也面临同样的筛选瓶颈。 漏洞报告曾经的特殊地位可能已经结束了——尽管这感觉有些怪异和不适。[5](https://words.filippo.io/vuln-reports/#fn:uncomfy) 现在的工作是：筛选、快速修复，以及——一如既往——预防。我想，我们都应该学会如何在 CI 中运行大语言模型分析。 更多内容，请订阅或关注我的 Bluesky（@filippo.abyssdomain.expert）[6](https://bsky.app/profile/filippo.abyssdomain.expert) 或 Mastodon（@[email protected]）[7](https://abyssdomain.expert/@filippo)。 ## 图片 几周前，和往年一样，我参加了 CENTOPASSI[8](https://centopassi.net/)，这是一项基于 GPS 轨迹的摩托车竞赛，需要精心规划，100 个坐标点，1700 公里的二级公路，历时三天半。它总是带我去到令人惊叹的地方，比如普利亚大区这座废弃的铝土矿。 画面中，一座生锈的棕色金属塔架和高高的起重机，映衬着明亮的蓝天，前景是一片金色的田野。 我的工作得以顺利进行，要感谢 Geomys[9](https://geomys.org/)，一个由专业 Go 语言维护者组成的组织，由 Ava Labs[10](https://www.avalabs.org/)、Teleport[11](https://goteleport.com/)、Datadog[12](https://www.datadoghq.com/)、Tailscale[13](https://tailscale.com/) 和 Sentry[14](https://sentry.io/) 资助。通过他们的顾问合同，我们确保了开源维护工作的可持续性和可靠性，而他们也获得了直接联系我和其他 Geomys 维护者专业知识的渠道。（更多信息请参考 Geomys 公告[15](https://words.filippo.io/geomys)。）以下是其中几位赞助方的话： **Teleport** — 过去五年，攻击和入侵已从传统的恶意软件和安全漏洞，转向通过社会工程、凭证窃取或钓鱼来识别和破坏合法用户账户与凭证。Teleport Identity[16](https://goteleport.com/platform/identity/?utm=filippo) 旨在通过访问监控消除薄弱访问模式，通过访问请求最小化攻击面，并通过强制访问审查清除未使用的权限。 **Ava Labs** — 我们 Ava Labs[17](https://www.avalabs.org/)，作为 AvalancheGo[18](https://github.com/ava-labs/avalanchego)（与 Avalanche 网络[19](https://www.avax.network/) 交互最常用的客户端）的维护者，坚信开源加密协议的可持续维护和开发对于区块链技术的广泛采用至关重要。我们很自豪能通过持续赞助 Filippo 及其团队，支持这项必要且影响深远的工作。