AI 開始進入漏洞研究與通報生態，Mozilla、微軟、GitHub 與 Curl 案例受關注

人工智慧正逐步進入軟體漏洞研究與通報的生態系，Mozilla、微軟、GitHub 與開源專案 Curl 等案例近期受到業界高度關注。在 AI 輔助漏洞發掘推升 CVE（通用漏洞揭露）數量的跡象浮現後，一個更值得觀察的問題是：AI 究竟如何進入軟體供應商與開源專案的漏洞研究流程，並對既有的資安通報機制帶來什麼影響。

相關討論的升溫，與 Anthropic 在 4 月 7 日宣布的 Project Glasswing 與 Claude Mythos Preview 密切相關。Anthropic 表示，這套模型已在主要作業系統與瀏覽器中找出大量零時差（zero-day）漏洞，但並未公開釋出這些漏洞資訊，而是先交由多家合作夥伴使用。這種「先給合作夥伴、不公開」的處理方式，正是當前 AI 進入漏洞研究流程時，業界關注的核心議題之一。

AI 在漏洞研究上的應用，帶來機會也帶來挑戰。從正面來看，AI 能以遠超人力的速度與規模掃描程式碼、發掘潛在漏洞，協助軟體供應商與開源專案更早發現並修補弱點，提升整體軟體安全水準。然而，AI 大量發掘漏洞也使 CVE 揭露量快速增加，對漏洞通報、驗證與修補的既有流程形成壓力。對於資源有限的開源專案而言，如何消化大量由 AI 發掘的漏洞回報，更是一項現實挑戰。

漏洞資訊的揭露方式同樣是爭議焦點。當 AI 找出大量零時差漏洞，這些資訊應如何處理、何時公開、由誰先行掌握，都牽涉到資安倫理與風險管理。若漏洞資訊處理不當，可能反而被惡意利用；但若過度封閉，又可能影響整體生態系的修補進度。Anthropic 採取的合作夥伴優先模式，正是在這兩難之間的一種嘗試，也因此引發業界對 AI 時代漏洞揭露機制的廣泛討論。

從產業角度觀察，AI 進入漏洞研究生態，意味著資安攻防的節奏正在改變。軟體供應商、開源社群與資安研究者都必須重新思考，如何在 AI 大幅提升漏洞發掘能力的同時，建立能與之匹配的通報、驗證與修補機制。Mozilla、微軟、GitHub 與 Curl 等不同類型的主體受到關注，正反映出這項變化橫跨商業軟體與開源世界。

展望後續，AI 在漏洞研究中的角色將持續深化。如何在善用 AI 提升軟體安全的同時，妥善管理漏洞揭露的風險與流程，將是資安產業必須共同面對的課題，值得長期觀察。