2026年6月23日，作为一名开源维护者，在公共环境中保持理智的一个要求是意识到每一个问题、拉取请求和反馈都是一种礼物，而不是一种义务。你可以接受它、忽略它，也可以部分使用它或完全不使用它。除了… 多年来，作为当时Go安全团队的负责人，我告诉新团队成员，漏洞报告不适用。 不，漏洞报告是特别的。安全研究人员通过保密报告问题而不是完全披露，给我们带来了好处，因此我们欠他们一些东西，而这并不适用于在问题跟踪器上打开的常规问题。不同的项目有不同的政策，但一般期望是响应性和归属感。我们应该快速确认报告，对其进行调查，保持与报告者的沟通，并最终给予他们发现的信用。为什么？因为报告者是为我们提供服务，而不是要求我们提供服务（例如修复错误或实现特性）。作为对响应和归属的交换，他们提供了宝贵的见解和我们需要的保密性，这样我们才能在攻击者推出利用工具之前发布修复。最终，这一切都源于我们对用户的责任。安全研究人员并不是特殊的，见解和保密性才是，而我们需要它们来保持用户的安全。忽视安全报告传达了你并不关心用户的安全，这理应是令人羞愧的理由。然而…现在是2026年，这些前提再也不成立了。大型语言模型（LLMs）与几乎任何安全研究人员一样优秀，任何人都可以运行它们。维护者可以运行它们。攻击者可以运行它们。见解已经不再稀缺和珍贵。现在的瓶颈不是寻找潜在问题，而是评估哪些问题是真实的。除非已经建立了信任关系，否则外部研究人员无法对该分类过程做出有意义的贡献，挑选大型语言模型的输出或查看安全@邮箱的信号与噪声比大致相同。保密性、禁令和协调的需求也不再像以前那样重要。攻击者无需阅读完整的披露帖子即可了解漏洞：他们可以询问自己的大型语言模型，事实上，他们也可能面临与防守者相同的分类瓶颈。特殊的漏洞报告的时代可能已经结束，尽管这让人感到奇怪和不安。现在的工作是分类、快速补救，并且像往常一样进行预防。我想我们都应该找出如何在持续集成中运行大型语言模型分析的办法。想了解更多，请在Bluesky上订阅或关注我，账号为@filippo.abyssdomain.expert，或在Mastodon上关注我，账号为@filippo@abyssdomain.expert。插图：几周前，像往年一样，我参加了CENTOPASSI，一项GPS跟踪的摩托车比赛，涉及精心策划、100个坐标和1700公里的次级道路，历时三天半。这让我去到了令人难以置信的地方，比如普利亚的这个废弃铝土矿。我的工作得以开展是因为Geomys，一个专业Go维护者的组织，得到了Ava Labs、Teleport、Datadog、Tailscale和Sentry的资助。通过我们的保留合同，他们确保了我们开源维护工作的可持续性和可靠性，并与我及其他Geomys维护者保持直接联系。（详细信息请参见Geomys公告。）以下是其中一些人的几句话！Teleport——在过去五年中，攻击和泄漏正在从传统恶意软件和安全漏洞转变为通过社交工程、凭证盗窃或网络钓鱼识别和攻击有效用户账户和凭证。Teleport身份旨在通过访问监控消除弱访问模式，通过访问请求最小化攻击面，并通过强制访问审查清除未使用的权限。Ava Labs——我们在Ava Labs，维护AvalancheGo（与Avalanche网络交互的最广泛使用的客户端），相信开源加密协议的可持续维护和开发对区块链技术的广泛采用至关重要。我们很自豪通过不断支持Filippo及其团队来支持这一必要且有影响力的工作。当我离开谷歌时，我把这个角色交给了能干的团队，因此尽管仍然参与Go项目的维护，但以上所有内容并不是Go安全团队的官方立场。↩ 处理漏洞报告与行为准则执行的交集很快就变得复杂。如果一个人报告了安全漏洞，同时也违反了行为准则，你会怎么做？你会忽视它吗？默默修复它吗？实际上，这没有简单的解决办法。这取决于行为的严重程度，是否是私人问题或影响社区，以及为处理安全@的团队成员提供的资源。这是一份有趣的工作。↩ T