在我多年的電腦科學研究生涯中,我一直將軟體漏洞的偵測視為一門技藝。最優秀的研究人員結合技術能力與直覺,能判斷軟體崩潰是小故障還是嚴重漏洞的徵兆。數十年來,機器負責找出錯誤,人類則決定哪些錯誤重要。如今,隨著人工智慧的進步,這一切將發生劇烈變化。
我的研究主要聚焦於開發更優秀的模糊測試工具(fuzzers)——這些自動化工具會向軟體輸入數百萬個意料之外的資料,以找出漏洞。產生崩潰報告(詳細記錄失敗的檔案)通常不是難點,真正的挑戰在於後續。仍需有人調查每個崩潰,判斷是否可被利用、是否應該公開,以及如何修復。
然而,人工智慧正在推動資安運作的根本轉變,將漏洞研究變成一個由模型、訓練資料和運算能力驅動的可擴展流程。
在這條路上,我們面臨巨大挑戰。本文將勾勒出新興的資安景觀輪廓,並提出尚待解決的問題。
現今的AI系統不僅能生成程式碼,還能推理、使用工具並執行實驗,日益具備篩選軟體崩潰、找出根本原因、評估漏洞可利用性,甚至提出修復方案的能力。
AI能審查原本可能被忽略的程式碼,縮短從發現漏洞到測試修復的時間。今年早些時候,位於加州舊金山的科技公司Mozilla利用先進的AI模型,在Firefox瀏覽器單一版本中發現並修補了271個漏洞,遠超過過去一年每月由現有工具和審查人員找到的數量。
AI帶來的漏洞報告數量激增,甚至讓經驗豐富的開發者也難以負荷。Linux核心(Linux kernel)是許多電腦系統的基礎開源軟體,依賴人員回報漏洞。但在2026年5月,Linux核心維護團隊因應AI輔助產生的大量重複報告,明確說明了漏洞回報的提交方式。這並非維護者失職,而是機器生成的報告數量輕易超出以人類速度發現漏洞所設計的流程承載能力。


