開源維護者正被 AI 生成的錯誤報告淹沒,自動化資安工具用漏洞警報轟炸程式碼庫。許多由 AI 驅動的新程式碼分析系統正在產生大量資安報告,維護者無法實際審查或處理這些報告。隨著公司急於將 AI 驅動的資安掃描整合到開發流水線中而不調整檢測準確性,問題迅速惡化。
這反映了我們在 AI 程式輔助上看到的情況——令人印象深刻的功能被生產中糟糕的訊噪比破壞。就像 GitHub Copilot 生成語法正確但邏輯有缺陷的程式碼一樣,這些資安工具識別看似漏洞的模式,但在上下文中通常無法被利用。結果是經典的自動化陷阱:旨在減少人類工作負載的工具實際上增加了工作負載,因為它們生成需要人類驗證然後丟棄的工作。
特別有問題的是努力的不對稱性。生成數千個錯誤報告對 AI 系統來說只需幾秒鐘,但每個報告都需要人類專業知識才能正確評估。維護者——已經捉襟見肘——現在花更多時間篩選誤報而不是解決真正的資安問題。一些專案已經開始實施速率限制或要求人工驗證後才接受自動化報告。
這裡的教訓呼應了我們在建構 Ramp 的自動化錯誤修復系統時學到的:AI 在處理完整迴圈而不僅僅是檢測階段時效果最佳。僅識別問題而不提供經過驗證的修復或信心分數的工具會產生營運負擔,違背其目的。維護者需要能減少工作負載的 AI,而不是生成偽裝成資安改進的繁瑣工作的系統。