河南
對很多普通人來說,cURL是一個陌生的名字,但它卻是世界上最流行的軟件。
這個開源軟件是網絡傳輸領域的老大,支持幾乎所有傳輸協議(HTTP、HTTPS、 FTP、 FTPS、 Gopher 、IMAP、 Kerberos、 LDAP、 MQTT、 POP3、 RTSP、 SCP、 SMTP、 SMB......)。
只要有網絡連接的地方,基本上就有cURL的存在。
它被廣泛地安裝在Linux、Windows、iOS、Android、MacOS 等主流操作系統中。
被安裝在幾乎所有物聯網設備如智能廚房和醫療設備、打印機、智能手表、智能汽車中。
它的創始人兼首席開發者丹尼爾·斯坦伯格(Daniel Stenberg)估計,cURL以及liburl被安裝于全球超過300億臺設備中!
然而,就是這樣一艘航行了近30年的開源巨輪,現在卻在被AI帶來的海嘯逼向崩潰的邊緣。
0 1
Bug海嘯
今年以來,AI 輔助漏洞審計的能力突然上了一個大臺階,cURL團隊收到的漏洞報告速度,已經是 2024 年的 4–5 倍,2025 年的 2 倍,平均每天超過 1 份。
更嚇人的是,這次不再是過去那種 AI 生成的“垃圾報告”了。
這些高級 AI 產出的報告質量遠超以往、細節極其豐富、篇幅極長。
AI 就像一臺超高分辨率的顯微鏡,瘋狂啃食 cURL 這些年積攢下來的老代碼,把藏在最深處的陳年 bug 一個個揪出來。
丹尼爾甚至坦言,這是 cURL項目近30年來從未經歷過的壓力。
面對鋪天蓋地的報告,開源社區的致命短板暴露無遺:人和錢都不夠。
cURL雖然跑在全球幾百億臺設備上,核心維護團隊卻小得可憐,很大程度上就靠丹尼爾一個人用愛發電。
他從 2019 年開始全職做 cURL,本來計劃一周干 50 個小時,但后來每天晚上還得再加幾小時,一周七天,生活和項目已經完全分不開了。
現在他為了應對這波 AI Bug報告狂潮,長期處于連軸轉的狀態。
深夜和周末都在瘋狂審查代碼、修復漏洞,超負荷地工作。
他的家庭也出現了危機,他妻子生平第一次對他的健康和生活失衡表示強烈擔憂,身邊朋友也警告他:你快要“燃盡”(Burnout)了。
但是丹尼爾無法放手,因為cURL的影響范圍實在太大了!
任何一個漏洞,都可能波及全球無數服務器、操作系統和聯網設備,丹尼爾和他的團隊必須理智地和每個AI報告死磕。
唯一還算幸運的是:經過這么多年嚴苛測試,cURL 的底層架構夠堅固。
AI 雖然揪出不少漏洞,但絕大多數被評為 “低”或“中”風險,還沒出現那種要命的“高危”漏洞。
丹尼爾略帶自嘲地寫道,他甚至有點妒忌那些曾經捅出天大簍子的開源項目(說的就是你,Log4j),這些項目引發全球災難后,反而引起了企業的巨大關注和資金資助,從而有錢雇傭更多的全職程序員。
而cURL應為多年來代碼質量極好,反而一直缺乏商業公司的財務回饋。
真是一個諷刺的開源悖論。
0 2
開源社區的焦慮
丹尼爾遇到的壓力,其實是整個開源社區的縮影。
4 月份 Anthropic發布了Mythos模型,這個家伙在漏洞挖掘上的能力強得離譜。
短短六周內,它就在全球最重要的系統軟件里挖出了 2 萬多個漏洞,其中四分之一是高危或嚴重級別,幾個經典的案例是:
(1) OpenBSD 存在27 年的漏洞
OpenBSD 被譽為世界上安全性最高的操作系統之一,常用于運行防火墻和其他關鍵基礎設施。
(2) FFmpeg存16 年的漏洞
FFmpeg可是視頻領域的絕對王者,無數軟件都用它來編碼和解碼視頻。
(3) Linux內核漏洞
將Linux 內核中的幾個漏洞串聯起來,使攻擊者從普通權限提升到對機器的完全控制。
由于Mythos模型太強,具有極強的“雙重用途風險”(既可用于防御,也可能被用于攻擊),Anthropic 并未向公眾開放,而是啟動了名為 Project Glasswing 的限制性安全聯盟,僅向少數大型科技公司、基礎設施組織以及部分關鍵開源項目提供訪問權限。
即使如此,它發現的漏洞數量已經讓很多開源維護者受不了,這些人紛紛要求:能不能放慢一點披露速度?我們真沒人手、沒時間修啊。
原來只有極少數頂尖黑客,才有能力對大型基礎設施發動深度攻擊。現在一個普通人,只需要把代碼丟給 AI,就能發現各種漏洞,原本屬于頂級安全研究員的能力,開始被大規模平民化,這是讓最讓人不安的地方。
程序員們制造了一件威力無比的、殺向自己的武器。
以后該怎么辦呢?
我想可能只剩下一個辦法了:讓AI來輔助修復漏洞。
即使你再不情愿用AI,面對AI產生的Bug海嘯,內心也得掂量掂量了:是放任漏洞,還是趕緊用AI修好?
我想大多數人都會選擇后者。
寫代碼->審計代碼->挖漏洞->修復漏洞->驗證漏洞是否被修復。這些活兒,早晚全被 AI 干了。
而人類會退到系統之外,變成“規則制定者”和“最終裁決者”,冷眼站在一旁,監視這一切。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
