文章总结： 本文核心观点是AI不制造漏洞而是降低发现成本，使长期存在于复杂软件中的漏洞更易被发现。AI加速漏洞从发现到武器化的周期，短期增加开源项目CVE数量但长期促进安全债清理。防守方需提升修复能力与判断力，因为AI降低信息处理成本却不降低决策成本。 综合评分： 85 文章分类： 漏洞分析,AI安全,安全运营

AI 不是让漏洞变多，而是让漏洞更难藏

原创

Secu的矛与盾 Secu的矛与盾

Secu的矛与盾

2026年5月21日 14:31 湖南

在小说阅读器读本章

去阅读

上一篇聊了 Nginx Rift 漏洞和 nginx-poolslip 传闻。

很多人看到“0day”“RCE”“ASLR bypass”“最新版本受影响”这些词，第一反应就是：是不是又来核弹了？

但我当时就说，比起纠结某一个传闻是真是假，更值得讨论的，是一个正在发生的、更大范围的变化：

AI 时代，漏洞是不是会越来越多？

我的判断是：AI 不一定让漏洞变多，但一定会让漏洞更难藏。

更准确地说，AI 不是让漏洞第一次出现，而是让过去藏在复杂系统里、甚至藏在少数人手里的漏洞，更难继续保持沉默。

今天这篇文章，就是把这个判断彻底拆开，一次讲清楚。

AI 没有制造漏洞，只是降低了发现成本

先说一个很容易被误读的点。

很多人看到 AI 辅助挖洞、AI 做代码审计、AI 辅助逆向，第一反应是：“完了，AI 要造出更多漏洞了。”

但漏洞不是 AI 发明出来的。

那些边界条件、内存管理问题、状态竞争、模块组合导致的逻辑错误，早就藏在代码里了。过去只是发现它们太贵、太慢、太依赖少数专家。

AI 改变的不是漏洞本身，而是发现漏洞、理解漏洞、复现漏洞、传播漏洞的成本。

• 过去看大项目源码，需要长期经验积累；
• 过去理解复杂调用链，需要大量上下文和调试；
• 过去分析补丁、定位漏洞点，需要很强的逆向和审计能力；
• 现在 AI 可以辅助阅读代码、总结逻辑、归纳危险模式、生成验证思路。

过去只有少数专家能做的分析，现在可能被更多研究者复制和扩展。

所以，最根本的那句话其实是：

AI 不是漏洞的源头，复杂性才是。AI 只是把复杂性里的问题照亮了。

漏洞公开，不代表漏洞刚刚出现

既然发现成本在降低，那么一个直接的结果就是：我们会看到更多漏洞被公开。

但这里有一个认知陷阱，必须说清楚。

我们常常把“漏洞被公开披露”误解成“漏洞刚刚出现”。但现实很可能不是这样。

很多漏洞在被写进 CVE、进入安全公告、出现在媒体标题之前，可能已经在代码里存在了很多年。

更极端一点，有些漏洞甚至可能早已被黑产、APT 或少数高水平攻击者掌握，只是它们没有公开，没有进入普通企业和普通安全团队的视野。

换句话说：

• 公开披露只是“被看见”的时间点，不一定是“产生”的时间点；
• CVE 是公开世界的记录，不等于漏洞生命周期的起点；
• 某些漏洞可能长期处在灰色地带；
• 攻击者可能已经知道，防守者却不知道。

过去，一个复杂漏洞可以长期处在这种信息差里：攻击者悄悄用，厂商不知道，防守方也不知道。

但当 AI 降低代码审计、补丁分析、逆向理解和复现推理的成本后，这些隐藏在复杂系统里的问题，就更容易被更多研究者翻出来。

所以 AI 带来的变化，不只是“发现了更多漏洞”，而是让过去只属于少数人的漏洞发现能力开始扩散。

基础设施软件的漏洞，本质来自复杂性

顺着这个逻辑往下看，你就会发现，有一类软件会反复出现在新闻标题里：

Linux 内核、OpenSSL、Nginx、Apache、数据库、中间件……

它们不是因为“不安全”才被频繁关注，而是因为它们太重要了。

越重要的软件，越值得被反复研究；越复杂的软件，越容易在边界条件里积累安全债。

基础设施软件的特点是什么？

• 使用范围广，暴露在公网；
• 历史包袱重，代码年代久远；
• 性能优化多，存在大量非直觉设计；
• 模块复杂，组合状态空间巨大；
• 边界条件多，一旦出问题影响面巨大。

复杂软件不会因为运行了很多年就没有漏洞，只能说明那些漏洞还没有被足够便宜、足够系统地发现。

AI 做的，就是让“足够便宜、足够系统”成为可能。

所以未来我们大概率会看到更多基础设施软件的安全公告。不是它们突然变差了，而是它们身上的安全债正在被更快地清算。

AI 正在压缩漏洞发现到武器化自动化的周期

现在我们再回到 AI 的影响。

过去漏洞生命周期大概是：发现 → 分析 → 复现 → 写 PoC → 披露 → 补丁 → 扫描利用。

AI 之后，每一步都可能被加速。

• AI 辅助代码审计；
• AI 辅助补丁 diff；
• AI 辅助生成复现思路；
• AI 辅助批量分析资产；
• AI 辅助写扫描规则；
• AI 辅助整理攻击链。

AI 最危险的地方，不一定是直接写出一个 0day，而是让整个漏洞传播和武器化链条变快。

过去从漏洞披露到大规模利用，中间可能还有一段缓冲期。但 AI 会压缩这个窗口。

补丁刚发布，攻击者可以更快分析 diff；公告刚出来，扫描规则可能很快出现；PoC 刚公开，资产批量匹配就会跟上。

开源会先难看，然后更安全

这个变化对开源项目的影响尤其直接。

短期看，AI 辅助漏洞挖掘会让开源项目看起来更“危险”：

• CVE 变多；
• 补丁更频繁；
• 安全公告更多；
• 运维压力更大；
• 外界觉得“怎么天天出漏洞”。

但长期看，这是一个去安全债的过程。

问题被看见，成因被讨论，补丁可追踪，经验可复用，工具链会沉淀。

开源项目不是因为被看见才危险。相反，漏洞被看见、被讨论、被修复，才是安全能力成长的过程。

闭源软件不是没有漏洞，只是它的漏洞更难被公开验证和系统性发现。在 AI 打破信息不对称的趋势下，这种“隐藏的不确定性”可能会越来越成为一个劣势。

真正的压力在修复侧

AI 让漏洞发现速度变快，但不会自动让企业修复速度变快。

这才是防守方最需要正视的问题。

未来漏洞管理的核心，不只是“知不知道有漏洞”，而是能不能在更短时间内判断：

• 我有没有受影响？
• 哪些资产受影响？
• 能不能立刻升级？
• 不能升级时有没有缓解措施？
• 修完以后怎么验证？
• 有没有日志可以回溯？
• 整个响应链路是否经得起反复跑？

这不是一个工具能解决的，这是一整套组织能力。

资产清单、版本识别、风险评级、补丁验证、临时缓解、灰度发布、回滚方案、日志监控、复盘机制——这些才是安全团队真正的肌肉。

AI 降低发现成本，不降低判断成本

最后，收回到个人的判断力上。

AI 能帮你读公告，能帮你总结漏洞，能帮你分析 PoC，甚至能帮你写检测脚本。

但它不能替你判断一个漏洞对你的业务到底有多大影响。

它也不能替你承担误判、漏判、误报、误修带来的责任。

• AI 降低的是信息处理成本；
• AI 降低的是初步分析成本；
• AI 提高的是攻击和防守双方的效率；
• 但真正稀缺的，永远是判断力。

AI 降低的是发现成本，不是判断成本。

安全从业者未来的价值，不会体现在“我知道某个 CVE”，而体现在“我能判断这个 CVE 对我的环境意味着什么，并且能推动响应落地”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Secu的矛与盾 Secu的矛与盾 Secu的矛与盾《AI 不是让漏洞变多，而是让漏洞更难藏》