CrowdStrike周四宣布了Project QuiltWorks,一个由Accenture、EY、IBM Cybersecurity Services、Kroll、OpenAI和CrowdStrike自身组成的联盟,围绕大多数安全团队已经怀疑但很少人愿意公开说出的一个论点组建。OpenAI和Anthropic的前沿模型现在在生产代码中发现逻辑bug、设计缺陷和新型利用链的速度,已经快过自动扫描器和人工审查的处理速度。该联盟将问题定性为缩小AI辅助发现与企业修复之间的差距,通过CrowdStrike新推出的Frontier AI Readiness and Resilience Service和一个拥有10,000+认证专业人员的合作伙伴网络交付代码级修复。
技术前提值得审视。前沿LLM大规模阅读代码会发现静态分析器遗漏的微妙逻辑错误,正是因为它们对意图推理,而不仅是模式。Anthropic和OpenAI都有内部工具对自己的代码审计行使此能力,2025年的独立研究证实了趋势:模型以超过传统SAST工具的比率在生产代码库中标记真实的CVE级bug。运营挑战在修复端。秒级找到bug很便宜;理解其影响半径、写出安全补丁、通过变更管理流程发布仍可能需要数周。那个差距就是利用窗口,并且随着发现加速而扩大。
QuiltWorks是第一个正式将响应商业化的联盟。Accenture、EY和IBM的评估服务加Kroll的取证能力加模型合作伙伴加CrowdStrike的端点覆盖,是一个可识别的响应,但政治定性很重要。两家前沿实验室加入防御性安全联盟,意味着模型提供商愿意通过合约限制哪些客户获得与攻击者同等的能力。这将是一场实时辩论。前沿模型漏洞发现是dual-use的:同样的能力让防守者审计自己的代码,也让攻击者审计你的代码。访问策略变得和模型本身一样重要。
对builders来说,实际解读很直接。假设你的代码现在可以被推理行为(而不只是语法)的模型读取。安全靠隐蔽,本来就奄奄一息,现在对公开repo或客户部署的二进制中的任何内容已经临床死亡。这改变你的优先级。静态分析输出变得不那么有趣;信任边界、授权流和状态机的架构审查变得更有趣。修复瓶颈是真实的,不会通过加更多扫描器解决。未来三年生存下来的团队将是那些能够以AI辅助攻击者武器化新发现的速度实际发布安全补丁的团队,这可能意味着更小的代码面、更紧的发布管道,以及远少的长生命legacy服务。QuiltWorks是对这一现实的商业回应,不是技术解决方案。