CrowdStrike週四宣布了Project QuiltWorks,一個由Accenture、EY、IBM Cybersecurity Services、Kroll、OpenAI和CrowdStrike自身組成的聯盟,圍繞大多數安全團隊已經懷疑但很少人願意公開說出的一個論點組建。OpenAI和Anthropic的前沿模型現在在生產程式碼中發現邏輯bug、設計缺陷和新型利用鏈的速度,已經快過自動掃描器和人工審查的處理速度。該聯盟將問題定性為縮小AI輔助發現與企業修復之間的差距,透過CrowdStrike新推出的Frontier AI Readiness and Resilience Service和一個擁有10,000+認證專業人員的合作夥伴網路交付程式碼級修復。
技術前提值得審視。前沿LLM大規模閱讀程式碼會發現靜態分析器遺漏的微妙邏輯錯誤,正是因為它們對意圖推理,而不僅是模式。Anthropic和OpenAI都有內部工具對自己的程式碼稽核行使此能力,2025年的獨立研究證實了趨勢:模型以超過傳統SAST工具的比率在生產程式碼庫中標記真實的CVE級bug。營運挑戰在修復端。秒級找到bug很便宜;理解其影響半徑、寫出安全修補、通過變更管理流程發布仍可能需要數週。那個差距就是利用視窗,並且隨著發現加速而擴大。
QuiltWorks是第一個正式將回應商業化的聯盟。Accenture、EY和IBM的評估服務加Kroll的鑑識能力加模型合作夥伴加CrowdStrike的端點覆蓋,是一個可識別的回應,但政治定性很重要。兩家前沿實驗室加入防禦性安全聯盟,意味著模型提供商願意透過合約限制哪些客戶獲得與攻擊者同等的能力。這將是一場即時辯論。前沿模型漏洞發現是dual-use的:同樣的能力讓防守者稽核自己的程式碼,也讓攻擊者稽核你的程式碼。存取策略變得和模型本身一樣重要。
對builders來說,實際解讀很直接。假設你的程式碼現在可以被推理行為(而不只是語法)的模型讀取。安全靠隱蔽,本來就奄奄一息,現在對公開repo或客戶部署的二進位中的任何內容已經臨床死亡。這改變你的優先順序。靜態分析輸出變得不那麼有趣;信任邊界、授權流和狀態機的架構審查變得更有趣。修復瓶頸是真實的,不會透過加更多掃描器解決。未來三年生存下來的團隊將是那些能夠以AI輔助攻擊者武器化新發現的速度實際發布安全修補的團隊,這可能意味著更小的程式碼面、更緊的發布管道,以及遠少的長生命legacy服務。QuiltWorks是對這一現實的商業回應,不是技術解決方案。