欢迎来到 OSS 安全的露天采矿时代

所有帖子 2026 年 5 月 14 日在工程领域 ‧ 阅读 8 分钟 欢迎来到开源安全的露天采矿时代 Sameer Al-Sakran ‧ 2026 年 5 月 14 日在工程领域 ‧ 阅读 8 分钟 分享这篇文章 复制到剪贴板 开源软件将迎来一个艰难的 2026 年夏天。如果您是开源维护者，那么您应该已经了解一些正在发生的事情。如果您是 OSS 用户，您应该注意它，因为它会解释您周围的一些行为，否则这些行为可能看起来很奇怪。 TL;DR：大容量、LLM 支持的安全漏洞扫描将发现任何公共源代码中的大量安全问题。这一切都始于几个月前 从历史上看，Metabase 平均每月向我们的 security@metabase.com 提交 10 份提交，其中大多数都是微不足道的或实际上不是漏洞。许多都是扫描工具的误报，我们花了大部分时间向记者解释他们发现的实际上并不是问题。到了岁末年初，情况发生了变化。从 1 月份开始，我们平均每周提交 10 份提交，其中许多都是合法的。大多数问题并不严重，我们已经悄悄修复了它们，感谢研究人员，然后继续我们的快乐之路。然而，报告数量和质量都发生了巨大变化。这些人来自不同的地点和人员，有时（但并非总是）正在寻找错误赏金。通常，这些报告都是降价的，读起来就像是法学硕士生成的。其他人也看到了这一点。不需要太有洞察力的眼睛就能意识到我们正在看到自动代码扫描的显着改进。此后，我们尝试了该领域的一些供应商，您知道吗？发现了更多（值得庆幸的是较小的）问题。没有任何一个供应商或型号是根本原因。虽然我们最初认为可能是 Claude Security，但直到二月份事情已经好转之后才宣布。 OpenAI 也加入了这个游戏。这是否意味着在每个人都可以访问这些内容之后还会出现另一波浪潮？有可能。但无论具体的基础模型如何，这只是编码代理在扫描代码库缺陷方面变得更好的结果。从历史上看，我们倾向于采用两种类型的漏洞研究： 批量运行的表面扫描器：运行 OWASP 扫描器或其他开箱即用的漏洞扫描器。这些往往大多是误报。有动机的深度挖掘：这通常是认真的用户付费的研究人员，通常对应用程序领域或框架有深入的了解，并知道在哪里进行探索。这些往往会发现一系列类似的问题，通常与研究人员的风格或专业相关。漏洞正在被露天开采如果您的代码可用，并且有人愿意花费代币，他们可以批量扫描代码。随着编码代理更好地理解代码库（作为一个理智的人，不要接受赌注的另一面），我们将逐渐发现一层又一层的更深层次的漏洞。光明的一面也有一些黑暗的影响现在，如果说这一切有什么光明的一面的话，那就是到目前为止，道德研究和开放核心公司之间的激励措施似乎是一致的。如果您是一位崭露头角的安全研究人员，那么您的玩法是：1）将 claude/codex/ 等融入一堆技能中，并将其转变为 SaaS 产品。 2) 批量扫描商业开源存储库 3) 将每个发现结果发送给商业 OSS 公司以及您可以从其网站上抓取的任何大用户，并在页脚中宣传您的自动扫描 SaaS 服务。不用说，现在大约有 1000 种 SaaS 产品，因此这是一场竞争激烈的游戏，但值得庆幸的是，有一条有利社会的道路是值得的。对于非商业开源，它的利润有点低——你必须挖掘 OSS 项目用户提供的赏金。我不确定我想知道这些天安全研究的不道德方面发生了什么。对于我们更广泛的安全态势：https://www.metabase.com/security 这对 OSS 维护者意味着什么 现在，从长远来看，这非常棒。我们有很多第三方燃烧代币来帮助您发现软件中任何可能的可利用缺陷。一旦它们被修复，您运行的任何软件都会更加安全并且不太可能出现问题。这些扫描仪将会激增，并最终可能进入您的 CI 工作流程。短期来看，情况会很艰难。首先，您应该假设向您披露的任何漏洞现在都可以轻松发现，无论它在您的代码中隐藏得有多深。虽然一些研究人员正在进行新颖的工作，但其中大部分都是省力的批量代码扫描。如果有人在您的代码库上运行 Claude Code 找到了它，您可以期待其他人使用 Codex 等很快找到它。这意味着，即使您与研究人员达成协议，在您有机会进行研究之前不得将其公开。