近日,google project zero 因借助其 ai 工具 “big sleep” 大规模识别 ffmpeg 等开源项目中的安全漏洞,与 ffmpeg 社区爆发了激烈争执。
今年 7 月,Google 推出了新的“漏洞披露透明度”机制:在发现漏洞后一周内通知相关上游项目,但依然坚持 90 天后公开披露的政策。到了 8 月,AI 系统 Big Sleep 在 FFmpeg 中自动检测出约 20 个潜在安全问题。Google 随即向该项目提交了报告,但并未附带任何修复方案或补丁支持。
此举引发了由社区志愿者驱动的 FFmpeg 团队强烈反弹。他们批评像 Google 这样的科技巨头利用自动化 AI 扫描工具批量生成漏洞报告,却将全部修复压力转嫁给无偿维护项目的开发者,不仅缺乏责任感,也严重加重了开源社区的负担。一位 FFmpeg 开发者愤而质问:“大公司用 AI 扫出一堆漏洞,却指望志愿者熬夜修复,这公平吗?”
FFmpeg 团队强调,他们是一个非商业性质的志愿组织,并非专业安全服务供应商,不应被外部行为强加紧急修复义务,尤其是由 Google 的 AI 工具所引发的大规模通报。
然而,Google 及部分安全专家则回应指出,FFmpeg 作为广泛集成于浏览器、操作系统和各类应用中的核心多媒体框架,属于关键性开源基础设施,其安全性直接影响亿万用户,因此必须以高标准推动漏洞快速响应与修复。
源码地址:点击下载
