本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
【腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云
以前,找漏洞是需要悬赏的。无论是苹果、谷歌、华为等巨头都发布过相关的安全漏洞查找悬赏任务,但是现在,随着 AI 的出现,漏洞悬赏方面的大门正式关闭上来。
这不是我说的,阮老师在他的科技周刊里也提到了。原因无它,AI 找漏洞太快了,快到各个生态都面临着巨大的修复压力。
以 Java 中的知名框架 Spring 为例,最近的几个小版本,或者就拿作为发布的 Spring v7.0.8 为例,一次性就修复了 16 个 CVE 安全漏洞。
除此之外,2026 年 4 月,Spring 社区共收到了 482 份安全报告,是历史月均的 74 倍。当 Anthropic 的 Mythos 模型在 FreeBSD 里挖出 20 年前的漏洞、Mozilla 一个月发布 423 个补丁时,整个开源世界正在经历一场前所未有的“安全报告海啸”。Spring 团队最新博客揭示的,不只是一次补丁发布,而是软件安全范式的彻底重构。
Spring 的窒息数字
先看一组令人窒息的数字。
- 历史平均:Spring 社区每月收到约 6.5 份安全报告
- 2026 年 3 月:收到 55 份报告(已暴增 8 倍)
- 2026 年 4 月:收到 482 份报告,其中 370 份来自内部 AI 扫描,112 份来自社区提交
- 2026 年 5 月:回落至 72 份,但仍为历史均值的 11 倍
本文配图参见 https://mp.weixin.qq.com/s/yqfw8PvB4wIaW4qTHZI4cA。
Spring 团队在博客中直言,我们不认为报告数量会回到历史水平。这不仅仅是一次异常波动,而是一个新纪元的开始。
更值得关注的是,这 482 份报告中,37% 被识别为重复或无效。也就是说,AI 不仅发现了更多漏洞,还制造了更多的“噪音”,这对开源维护者而言,是双重打击。
不敢发布的 Mythos
要理解这场海啸的源头,必须认识 Claude Mythos Preview。
2026 年 4 月 7 日,Anthropic 做了件史无前例的事:发布了 244 页的系统卡片,然后宣布这个模型不对公众开放。原因就是它太危险了。
Mythos 的能力有多恐怖?
| 指标 | 数值 | 对比 |
|---|---|---|
| CyberGym 漏洞发现率 | 83.1% | Opus 4.6 仅 66.6%,GPT-5 仅 22% |
| Firefox 漏洞利用成功率 | 72.4% | Opus 4.6 仅 14.4%,提升 5 倍 |
| 发现的最老漏洞 | 27 年 | OpenBSD 内核漏洞,1999 年引入 |
| 高危漏洞发现总数 | 10000+ | 首月即覆盖所有主流OS和浏览器 |
| 自主漏洞链构建 | 4 个漏洞串联 | 包含 JIT 堆喷射和沙箱逃逸 |
Mozilla 高级工程师 Brian Grinstead 的评价极具代表性:很难夸大这种动态在几个月内给我们带来的改变。Mythos 在 Firefox 中发现了 271 个漏洞,其中 180 个为高危,而 2025 年 4 月,Mozilla 只发布了 31 个补丁。
当然,昨天 Claude Fable 5 和 Claude Mythos 5 已经发布了。
开源维护者压力
AI 安全能力的跃迁,对开源社区造成了三重冲击。
首先是数量上的冲击,维护者被淹没。
其次是质量上的冲击,AI Slop 泛滥。
最后是,心理上的冲击,Burnout 危机。维护者的审查负担呈指数级增长。
Spring 也不例外,官方也是发了一篇博客来诉说苦衷。这也导致了更多的资源投入到漏洞上了,类似 Spring Boot 4.1.x 版本等一些框架上投入就少了一些,以至于原计划昨天发布的 Spring Ampq、Spring Hateoas、Spring Kafka、Spring Integration、Spring Pulsar、Spring Statemachine 等框架大面积延期。
结语
Spring 团队在博客结尾写道,这些是新时期。虽然我们不认为报告增加是单月事件,但我们确实期望随着解决 AI 工具能识别的问题,报告量会减少。
这是一个微妙的乐观,AI 发现了更多漏洞,但漏洞总数是有限的。当“低垂果实”被摘完后,AI 将转向更深层、更复杂的漏洞。而那时,人类维护者和 AI 的协作模式也将成熟。
AI 越来越智能了,但也越来越贵了,强如 Claude Fable 5,20 分钟用完 $200 美元,没有多少人能真正的用得起!
最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!
本文原文出处:业余草: » AI 冲击 Spring,CVE 安全漏洞狂飙 74 倍