64个PR、37个补丁已合入：OpenAI给AI安全「只报不修」打了个结

2026 年 1 月 26 日，Daniel Stenberg 做了一个痛苦的决定。

这位维护着全球数十亿设备都在运行的 cURL 项目的创始人，宣布关闭运行近七年的 HackerOne 漏洞赏金计划。原因不是缺钱，不是没人报漏洞——报告太多了，多到他根本无力处理。

「无休止的 AI 垃圾报告造成了严重的精神负担，有时需要很长时间才能拆穿，」Stenberg 写道。cURL 的漏洞确认率从 2024 年之前的 15% 以上，在 2025 年暴跌至不足 5%。每 20 份安全报告中，只有不到 1 份是真实的漏洞。

五个月后，同一家开发了世界上最强大 AI 模型的公司，宣布了一个截然不同的开源安全计划。6 月 22 日，OpenAI 正式发布 Patch the Planet——一个由 Daybreak 孵化、与 Trail of Bits 合作构建的开源安全倡议。但这一次，剧本完全不一样。

一个被忽视的等式：发现 ≠ 安全

2026 年是 AI 安全能力全面爆发的一年。4 月，Anthropic 发布 Project Glasswing，Claude Mythos Preview 在一个 OpenBSD 项目中发现了存在 27 年的漏洞。5 月，OpenAI 推出 Daybreak，GPT-5.5-Cyber 在 CyberGym 基准测试中达到 85.6%，创下单一模型最高纪录。6 月，OpenAI Preparedness 团队发现了一个 Firefox WebAssembly 的 use-after-free 漏洞（CVE-2026-8390），Mozilla 在 Pwn2Own Berlin 前两日紧急修复，导致五个注册的 Firefox 参赛条目撤回。

问题已经不是 AI 能不能找到漏洞。它已经能了。真正的问题是：然后呢？

安全行业有一个隐秘但残酷的现实：从发现到修复，中间隔着漏洞验证、优先级排序、补丁开发、测试、协调披露、向后兼容性审查——每一步都离不开人类专家。当 AI 把漏洞发现速度提升了一百倍，而人类的修复能力几乎没有变化时，等式彻底失衡了。

「AI 正在加速漏洞发现，但仅靠发现并不能保护用户。许多维护者已经不得不在同样有限的时间和资源下，更快地筛选更多报告。」—— OpenAI

为什么「只报不修」行不通

在发现端，GPT-5.5-Cyber 可以在一天内搭建一个完整的 fuzzing 实验室——数十个入口点、变体构建和多平台。Trail of Bits 估计，这样的工作如果由人类专家完成需要两到三周。在修复端，一个中型开源项目的核心维护者可能只有 1 到 3 人，他们仍在用和十年前一样的方式工作，只是现在要处理 10 倍以上的安全报告。这就是 Patch the Planet 试图解决的核心不对称。

为什么「只报不修」行不通？第一，验证成本高昂——AI 发现的「漏洞」可能是误报或不可利用路径。第二，补丁开发需要项目上下文，一个不当的补丁可能引入回归缺陷。第三，维护者时间是整个生态系统最稀缺的资源。Trail of Bits 一句话点破了行业痼疾：「任何人都可以提一个 Issue，炫耀一番，然后走人。我们带着补丁来的。」

一个完全不同的协作模型

Patch the Planet 的工作流程，从头到尾只回答一个问题：如何不让维护者更累？安全工程师与维护者协商确定需求后，使用 GPT-5.5-Cyber 和 Codex Security 进行分析，发现结果在到达维护者之前已经过人类验证和筛选。然后工程师与项目协作开发补丁、编写测试，通过项目既定渠道协调披露。

关键区别：传统模式下，AI 发现漏洞 → AI 报告漏洞 → 维护者独自面对。Patch the Planet 模式下，AI 发现漏洞 → 安全工程师验证并修补 → 维护者审核合入。最重的负担从维护者肩上移到了专家团队肩上。

Trail of Bits 将整个安全研究组织投入其中。首周成果：覆盖 19 个项目（cURL、Go、Python、NATS、Sigstore、RustCrypto 等），提交 64 个 PR、51 个 Issue，其中 37 个补丁已合入主线。超过 30 个项目已加入该计划。数字之外更有价值的是质量：为 python.org 添加了基于 zizmor 的 CI 安全扫描工作流，在 RustCrypto 的 big-integer 库中做了正确性修复，为 PyPI 增加了管理确认机制，为 Python Windows 构件增加了 SBOM 侧车。用他们的原话：「我们最好的贡献甚至不是安全修复。」

更大的图景：Daybreak vs. Glasswing

Anthropic 的 Project Glasswing（4 月启动）集结了 AWS、Apple、Google、Microsoft、CrowdStrike、NVIDIA 等 12 家巨头，覆盖超过 10,000 个高危漏洞，已扩展到约 150 个组织的 15 个国家——核心策略是「赋能强者」。OpenAI 的 Daybreak + Patch the Planet（5-6 月）选择了另一条路：不仅提供模型，还直接投资「人」——由 Trail of Bits 安全工程师组成的前线团队直接嵌入开源项目的开发流程——「加固根基」。

两种路径各有优势。但 Patch the Planet 触及了一个更深层的结构性问题：很多最基础的开源项目根本没有全职安全团队。cURL 的核心维护者是 Stenberg 一个人。Python 的核心团队不到 20 人。这些项目支撑着全世界数以亿计的应用，但它们的守卫者比大多数人想象的少得多。

可持续的路

Patch the Planet 首周的数据——64 个 PR、37 个合入补丁——在 AI 安全领域动辄「发现上万漏洞」的新闻面前并不惊人。但它的意义在于证明了一个朴素的道理：AI 安全不应该只是发现问题的机器，更应该是解决问题的伙伴。当整个行业沉迷于 AI 找漏洞的效率竞赛时，OpenAI 和 Trail of Bits 选择了一条更累的路：带着补丁上门，而不是扔下一份报告就走。这可能是唯一可持续的路——因为如果漏洞发现速度继续飙升而修复能力原地踏步，所谓的安全提升不过是将一种危机变成了另一种：从「我们不知道有漏洞」变成「我们知道有漏洞，但没人修」。

下一次，当 AI 说「我发现了一个漏洞」时，也许它应该补上后半句——「这是我写的补丁。」