2026年6月最后一周,全球开源安全领域发生了三件互为因果的事。
6月22日,OpenAI 发布完整版 GPT-5.5-Cyber,并宣布 Patch the Planet 计划。安全公司 Trail of Bits 的工程师将直接进驻开源项目,用 AI 帮维护团队找漏洞、打补丁。同一天,IBM 宣布加入 Daybreak 合作伙伴计划,启动由 IBM 和红帽承诺投入 50 亿美元的 Project Lightwell。
6月25日,Linux 基金会联合亚马逊、Anthropic、OpenAI、英伟达、红帽、谷歌、微软、IBM、Rust 基金会等 14 家机构,正式启动 Akrites 项目。这是一套专为 AI 安全漏洞设计的统一保密型协同漏洞披露(CVD)流程。
这两件事发生之前一周,Anthropic 的 Mythos 模型被曝已经攻破了美国政府机密系统。参议院情报委员会主席马克·华纳的原话是:“这个工具在数小时内就攻破了我们几乎所有的机密系统。”这一信息来自 NSA 和 Cyber Command 负责人约书亚·鲁德将军向国会做的正式通报。几乎同时,安全公司 Arctic Wolf 的研究显示,开源 AI 模型在漏洞利用能力上已经接近 Mythos 的水平,且没有任何护栏。
2026年的夏天,AI 打破了开源安全世界本就脆弱的平衡。进攻方的武器已经升级到代际级别,而守门人的数量,那些维护着全球数字基础设施的志愿者,没有变。
AI 漏洞狩猎:从人肉搜索到机枪扫射
在 AI 安全模型出现之前,开源项目的安全漏洞主要靠三种方式被发现:安全研究人员的白帽审计、社区用户的偶然发现、以及恶意攻击者的黑产利用。效率都不高。一个严重漏洞从产生到被发现,窗口期常常长达数月甚至数年。
Log4Shell 是一个教科书式的案例。2021年曝光的 Apache Log4j 远程代码执行漏洞让全球几乎所有 Java 应用暴露在风险中,从漏洞披露到大规模利用只有短短数天。但那一次,漏洞至少还是由白帽研究员发现的。到了 2026 年,AI 模型开始在漏洞发现效率上碾压人类。
Anthropic 的 Mythos 模型是这场变革的引爆点。2026年4月,Anthropic 发布 Mythos 时说了一句话:“AI 模型在编码能力上已经达到甚至超越了最顶尖的人类安全专家。”当时很多人觉得这是公关话术。两个月后,参议院情报委员会公开证实,Mythos 在数小时内攻破了美国政府几乎所有的机密系统。这不是宣传片台词,而是美国最高情报机构对国会做的正式通报。
更令人不安的是攻击者同样拿到了武器。Arctic Wolf 总裁丹·斯基亚帕在 CNBC 上直言:开源 AI 模型在漏洞利用能力上已经几乎和 Mythos 不相上下,只是没有护栏。这意味着攻击者不需要向 Anthropic 申请权限,就能拥有接近于顶尖 AI 安全模型的能力。
安全情报公司 Flashpoint 2026年的研究报告揭示了一个恐怖的趋势:漏洞从披露到首次被利用的平均时间,从 2020 年的 745 天缩短到了 2025 年的 44 天。五年内压缩了 94%。而在 AI 安全模型加入战场之后,这个数字正在从“天”进一步压缩到“小时”。
94% 的项目,不到 10 个人
如果攻击者在加速而防守方也有资源应对,问题还不大。但开源世界的防守力量极其薄弱。
Linux 基金会与哈佛大学的联合研究给出了一个让人坐不住的数字:在广泛使用的开源项目中,94% 的项目仅有不到 10 名开发者贡献了 90% 以上的年度代码增量。这意味着全球数字基础设施的底层,从网络协议库到压缩工具,从媒体编解码器到加密算法,绝大多数由个位数的志愿者或极小型团队维护。
这些维护者通常有几个共同特征:业余时间维护、无固定收入来源、Bug 队列永无止境。当 AI 开始以量产方式发现漏洞时,他们面临的问题不再是“要不要修”,而是“根本看不过来”。
OpenAI 在 Patch the Planet 的官方公告中直言不讳:“我们的模型现在发现漏洞的速度比防御者修复的速度更快,安全团队被埋在报告堆里了。”这句话出自造出 AI 模型的公司之口,本身就极具冲击力。连造 AI 的人都说 AI 正在制造他们解决不了的问题。
更麻烦的是假阳性。AI 安全模型在漏洞发现上召回率很高,但精度远远不够。CSOonline 的报道引用了一位安全架构师的观点,认为企业安全负责人应该要求每个 AI 生成的结果在到达人类分析员之前必须通过自动验证,包括动态概念验证和强大的假阳性过滤。但大多数开源项目连一个专职安全工程师都没有,更不用说搭建这样的过滤流水线。
OpenAI 的解决方案很直接:不让 AI 报告直接流向维护者。Trail of Bits 的安全工程师在报告到达维护者之前进行审核和过滤,只有经过验证的漏洞才提交,而且附带修复建议和经过测试的补丁。初始阶段覆盖了 19 个开源项目,已经发现了数百个安全问题并合并了数十个补丁。这些工程师还产出了一套可复用的工具,包括模糊测试框架、历史 CVE 分析管道、差异测试系统和威胁模型。
但 19 个项目只是全球数百万开源项目的一个零头。
Akrites:给救火队一张标准化地图
Linux 基金会发起的 Akrites 项目解决的问题不同,但和 Patch the Planet 形成了互补。
Akrites 的核心是一套统一的保密型 CVD 流程。CVD 不是新概念,安全行业已经用了几十年。但 Akrites 有两个独特的设计:第一,它是专门针对 AI 生成的漏洞设计的标准化管道;第二,它对无人维护的项目做了特殊安排。
按照 Akrites 的规则,漏洞由原维护团队按自己的节奏修复,不施加外部截止日期。这不是佛系,而是务实。强推时间线只会让维护者更疲于奔命。但当项目没有活跃维护者时,则由“最后维护者”接管并负责及时分发补丁。
这个“最后维护者”条款可能比 Akrites 的其他任何部分都更重要。开源生态中有大量僵尸项目,已经不再活跃更新,但代码仍然被数以千计的商业产品引用。这些项目是供应链安全中最薄弱的环节。即使 AI 发现了漏洞,如果没有人去修,发现了和没发现没有区别。Akrites 的“最后维护者接管”机制,至少确保了一个补丁会被制造出来。
Akrites 采用行业标准工具开展工作,与现有开发流程兼容。这意味着加入项目的维护者不需要学习一套全新的安全工具链。对于资源极度受限的开源项目,学习成本本身就是一个隐形门槛。
参与方名单本身就是一条新闻:亚马逊、Anthropic、OpenAI、英伟达、红帽、谷歌、微软、IBM、Rust 基金会等 14 家机构。这几乎囊括了全球科技产业链的完整版图,从云基础设施到 AI 模型,从芯片到操作系统,从企业软件到编程语言。他们愿意坐在一起制定规则,是因为大家都依赖同一套开源代码,而同一套 AI 模型正在威胁它。
三条防线,一条时间线
将 2026 年 6 月最后一周的行业动态放在一起看,可以清晰看到三条并行的安全防线正在搭建。
Anthropic 的 Project Glasswing。这是最早启动的路径。2026年4月,Anthropic 发布 Mythos 的同时启动 Glasswing,向首批约 50 家合作伙伴提供 Mythos Preview 的受控访问权限,包括 AWS、苹果、思科、CrowdStrike、谷歌、摩根大通、微软、英伟达和 Linux 基金会。6月2日,Anthropic 将范围扩大到另外约 150 家来自15个国家的组织,覆盖了此前缺席的电力、水务、医疗、通信等关键基础设施领域。根据 Anthropic 官方的更新报告,Glasswing 项目已累计发现超过 1 万个高危或严重级别的软件漏洞。
OpenAI 的 Daybreak 与 Patch the Planet。6月22日,OpenAI 发布 GPT-5.5-Cyber,同时启动 Patch the Planet。相比 Anthropic 的受限分发,OpenAI 选择了一条不同的路。他们派出安全工程师直接帮开源项目打补丁,把 AI 能力嵌入到开发者的日常工作流中。IBM 随即加入 Daybreak 合作伙伴计划,启动由 IBM 和红帽承诺投入 50 亿美元的 Project Lightwell,用 OpenAI 的模型做企业代码审查。
Linux 基金会的 Akrites 项目。6月25日启动,覆盖 14 家机构,聚焦于建立统一的 AI 漏洞处理标准,特别关注无人维护的开源项目。如果 Glasswing 是让 AI 发现漏洞,Patch the Planet 是帮人修复漏洞,那么 Akrites 就是确保漏洞能被组织化地处理。
三条路径目标高度一致:在 AI 安全模型的能力被攻击者大规模武器化之前,先将开源生态的防御水位提升到可以承受的水平。这是一场时间竞赛,而时间正在变得越来越贵。
剩下的时间不多了
Flashpoint 的数据已经说明了一切:漏洞从公开到被利用,平均窗口从 2020 年的 745 天压缩到了 2025 年的 44 天。CrowdStrike 2026 年的全球威胁报告进一步指出,零日漏洞在被公开披露之前就被利用的事件同比增加了 42%。攻击者不再等到漏洞公开,他们在补丁发布之前就已经开始行动。
将这一趋势和 AI 安全模型的能力叠加,结果令人不安。Mythos 在数小时内攻破了机密系统。如果类似的模型被攻击者获取,而根据 Arctic Wolf 的判断,开源模型已经接近这一水平,那么“小时级”漏洞利用将不再是科幻场景。
传统的“发现-报告-修复-发布”安全模式正在失效。过去,一个漏洞从发现到被修复,安全团队有数周甚至数月的时间。现在,攻击者可能在安全团队内部通报会议还没开完之前就已经完成了利用。2026年5月,美国 CISA 发布了新的约束性操作指令,将联邦机构关键漏洞的修复窗口从 15 天压缩到 3 天,直接以 AI 加速的漏洞利用为理由。连监管机构也意识到传统节奏正在失效。
Akrites 的应对逻辑是:不再追求更快的修复速度,而是追求更聪明的组织方式。让 AI 同时承担漏洞发现和补丁生成,让安全工程师只做审核和裁决,把人的工作从“发现”提升到“决策”。Patch the Planet 的实际效果,数百个安全问题被发现、数十个补丁已合并,证明了这套流程至少在实验室规模上是可行的。
但规模问题仍然存在。19 个项目、14 家机构、约 200 个 Glasswing 成员,和全球数百万开源项目、数千亿行代码的体量相比,这些数字仍然微不足道。
赢家与输家
这场围绕开源供应链安全的竞合博弈,正在重塑行业格局。
短期来看,最大的受益者是开源维护者,如果他们能真正获得承诺中的工具和人力支持。Patch the Planet 承诺不增加维护者负担。Akrites 承诺维护者按自己的节奏修复。Project Glasswing 承诺帮你发现自己不可能发现的漏洞。如果这些承诺全部兑现,开源生态的安全水位将显著提升。但“如果”是一个很大的词。
中期来看,最大的不确定性来自 AI 假阳性问题的解决程度。如果 AI 安全工具只是将低质量报告洪流以更系统化的方式倒给维护者,结果可能适得其反。Trail of Bits 的工程师过滤层是这个问题的核心答案,但 Trail of Bits 能提供多少工程师、能同时承接多少个项目,取决于这个计划实际获得的资源规模。
长期来看,最值得关注的不是这些项目本身,而是它们揭示的结构性变化。AI 安全能力正在从“工具”演变为“基础设施”。当 Anthropic 通过 Glasswing 管理约 200 家组织的漏洞修复,当 OpenAI 通过 Patch the Planet 嵌入开源项目的日常开发,当 Linux 基金会通过 Akrites 确立 AI 漏洞处理的行业标准,AI 公司正在成为开源安全的基础设施层。未来的安全能力可能越来越依赖于少数几家 AI 公司,而非分布在全球的独立安全研究者。
这本身就是一个值得警惕的信号。中央化带来效率,也带来单点故障。如果核心 AI 安全能力集中到两三家 AI 公司手中,这些公司本身的安全问题就成了更大的安全问题。
一个时代正在落幕。靠几个志愿者在周末修 Bug 就撑起全球数字基础设施的时代,终究被 AI 的冲击波碾过去了。Akrites、Patch the Planet 和 Glasswing 这三条防线,代表了全球最大科技公司给出的答案:用更集中的资源、更标准化的流程、更智能的工具,去应对 AI 制造的新威胁。
但答案是否足够,取决于另一个问题:当攻击者用 AI 在小时级找到漏洞,全球开源社区能拿出来的防守力量,是否足以在下一个零日被武器化之前完成对百万级项目的全面修复?
目前来看,时间并不站在防守方这边。
快报