精选理由
这篇论文戳破了“AI将颠覆安全攻防”的简单叙事,用经济学框架解释了为什么防御者才是LLM漏洞发现的真正受益方。做安全运营、开源维护或漏洞奖励计划的人,看完会重新理解自己的瓶颈在哪。
本文从“漏洞经济学”视角分析LLM驱动的漏洞发现对攻防格局的影响。传统上,高端零日漏洞是政府、经纪商和攻击性厂商的昂贵专业产出,而LLM辅助系统降低了候选漏洞生成、代码理解、验证报告等环节的成本。这导致瓶颈从“发现更多漏洞”转向“吸收、验证、分类、修补和发布大量报告”。基于Anthropic Mythos Preview与Mozilla Firefox合作数据,论文指出近期变化不是更多零日漏洞,而是防御者修复吞吐量的提升:低信号候选漏洞变便宜,证据丰富的修复更重要,稀缺能力转向维护者审查和发布。开源项目受影响最严重,因为LLM辅助发现可增加报告量,但维护者验证、分类、资金和发布能力可能无法同步扩展。
AI 翻译 · 中文
本文从“漏洞经济学”视角分析LLM驱动的漏洞发现对攻防格局的影响。传统上,高端零日漏洞是政府、经纪商和攻击性厂商的昂贵专业产出,而LLM辅助系统降低了候选漏洞生成、代码理解、验证报告等环节的成本。这导致瓶颈从“发现更多漏洞”转向“吸收、验证、分类、修补和发布大量报告”。基于Anthropic Mythos Preview与Mozilla Firefox合作数据,论文指出近期变化不是更多零日漏洞,而是防御者修复吞吐量的提升:低信号候选漏洞变便宜,证据丰富的修复更重要,稀缺能力转向维护者审查和发布。开源项目受影响最严重,因为LLM辅助发现可增加报告量,但维护者验证、分类、资金和发布能力可能无法同步扩展。
Recent demonstrations of large language models producing candidate and confirmed vulnerabilities in production software have renewed the narrative that AI will reshape offensive and defensive security. Headlines emphasiz…