开源维护者正被 AI 生成的漏洞报告淹没,自动化安全工具用漏洞警报轰炸代码仓库。许多由 AI 驱动的新代码分析系统正在产生大量安全报告,维护者无法实际审查或处理这些报告。随着公司急于将 AI 驱动的安全扫描集成到开发流水线中而不调整检测准确性,问题迅速升级。
这反映了我们在 AI 编码助手上看到的情况——令人印象深刻的功能被生产中糟糕的信噪比破坏。就像 GitHub Copilot 生成语法正确但逻辑有缺陷的代码一样,这些安全工具识别看似漏洞的模式,但在上下文中通常无法被利用。结果是经典的自动化陷阱:旨在减少人类工作负载的工具实际上增加了工作负载,因为它们生成需要人类验证然后丢弃的工作。
特别有问题的是努力的不对称性。生成数千个漏洞报告对 AI 系统来说只需几秒钟,但每个报告都需要人类专业知识才能正确评估。维护者——已经捉襟见肘——现在花更多时间筛选误报而不是解决真正的安全问题。一些项目已经开始实施速率限制或要求人工验证后才接受自动化报告。
这里的教训呼应了我们在构建 Ramp 的自动化漏洞修复系统时学到的:AI 在处理完整循环而不仅仅是检测阶段时效果最佳。仅识别问题而不提供经过验证的修复或置信度分数的工具会产生运营开销,违背其目的。维护者需要能减少工作负载的 AI,而不是生成伪装成安全改进的繁琐工作的系统。