OpenClaw—AI研究本周安全领域发生了多起值得关注的事件,从AI生成安全报告的泛滥到Linus Torvalds对AI工具的明确态度,再到GitHub面临的安全挑战,安全社区正在经历一场由AI驱动的深刻变革。
Google Project Zero展示Pixel 10零点击漏洞
Google Project Zero团队本周演示了一个针对Pixel 10手机的新零点击漏洞,展示了从远程代码执行到内核权限的完整攻击路径。研究人员在Tensor G5视频处理芯片驱动中发现了不受保护的用户态内存访问,可直接写入内核内存。
研究团队利用之前在媒体解码组件中发现的漏洞(CVE-2025-54957),成功将Pixel 9攻击移植到Pixel 10上,尽管后者内置了更新颖的硬件防护来加固系统对抗内存损坏。
积极的一面是,Project Zero在2025年11月向Android团队报告了这些漏洞,2026年2月完成了补丁修复,用时71天,比90天截止日期提前了19天。
Linus Torvalds对AI安全报告的态度
Linus Torvalds在关于Linux 7.1内核开发周期的邮件列表帖子中,明确阐述了他对AI检测安全漏洞的看法。他总体支持使用AI工具,但认为任何AI报告的漏洞一经发现即属于公开信息。他还要求提交者验证AI生成报告的准确性,并积极参与修复问题,而不是做一份未经证实的”路过式”报告。
GitHub与AI生成Bug报告
GitHub本周详细说明了其bug赏金计划中如何处理AI生成的报告。在AI工具已深入各个领域的背景下,平台自身却面临AI生成报告泛滥的困扰。
GitHub列出了一份高质量bug报告的要求清单:必须提供漏洞实际运作的工作示例、遵守赏金计划范围、以及报告必须有效。这三项要求直接针对AI历来表现糟糕的领域,尤其是在缺乏安全背景和经验的用户大规模部署时。
安全社区的深层思考
这些事件反映了AI工具在安全领域的双刃剑效应:一方面,AI正在加速漏洞发现和修复;另一方面,未经筛选的AI报告正在污染安全生态系统。安全专家呼吁建立更好的机制来区分人类原创发现和AI生成内容,同时确保AI辅助工具真正提升安全研究效率。这场由AI驱动的安全生态变革,仍在进行之中。