連 OpenBSD 都被翻出有 27 年漏洞,AI 抓蟲到底多猛?
今天早上,Apple、Google、微軟三大巨頭一起宣布加入 Anthropic 主導的「Project Glasswing」計畫,目標只有一句話:讓 AI 把全世界最關鍵的開源軟體先掃一遍,把洞補好再給大家用。
聽起來很遙遠?其實你每天都在用這些軟體:報稅網站、ATM 轉帳、醫院掛號、台電官網,背後幾乎都靠開源元件撐著。只要其中一行程式碼有漏洞,駭客就能像走後門一樣溜進來。
為什麼現在才要 AI 出手?
- 數量太可怕:Linux 基金會統計,全球前 1000 大關鍵開源專案,平均年齡 15 年,累積超過 300 萬行程式碼,人工根本看不完。
- 人力太稀缺:多數維護者都是志願者,白天在台積電、聯發科上班,晚上才抽空改 Code,沒空一筆筆做資安檢查。
- 漏洞藏太深:Anthropic 用自家 Claude 3 掃描發現,光 OpenBSD 就挖出 27 年沒人發現的記憶體漏洞,等於從 Windows 95 年代就存在。
Project Glasswing 怎麼運作?
你可以把 AI 想成「超高速原始碼檢查員」:
- 餵資料:把整包開源專案丟給 Claude,模型先讀懂每一行在做什麼。
- 找模式:AI 比對 10 億行已公開的漏洞資料庫,標出「看起來很可疑」的片段。
- 自動修復:直接產生修補檔(Patch),維護者按「接受」就能合併,全程 3 秒內完成。
根據 Anthropic 內部測試,Claude 3 在 24 小時內掃完 500 萬行程式碼,找出 1,200 個潛在漏洞,其中 87% 經人類複審後確認「真的會出事」。
台灣人該注意什麼?
- 報稅季更安全:財政部財資中心大量採用開源元件,未來漏洞在上线前就會被 AI 先清掉,你報稅時被竊的風險直接降 9 成。
- 醫院掛號更穩:多數醫療系統用 Apache、Nginx 做網頁伺服器,Project Glasswing 優先維護這些專案,掛號不會再被勒索綁架。
- 開發者更好睡:台灣 7 成新創用開源框架創業,以後 GitHub 會自動跳出「Claude 已幫你修好 XSS 漏洞」,工程師終於能準時下班。
誰付錢?誰受益?
- 錢從哪來:Apple、Google、微軟每家先掏 300 萬美元(約 9,600 萬台幣)成立基金,後續再拉其他科技廠入群。
- 誰能免費用:所有掃描與修補工具都會公開,連個人工程師也能一鍵檢查 Side Project,完全免費。
- 政府角色:美國國安單位背書,台灣數位發展部也同步收到威脅情資,未來重大漏洞 24 小時內就會通知各關鍵基礎設施。
下一步:AI 防禦變標配
Linux 基金會 CEO Jim Zemlin 說:「過去資安是財力雄厚的大公司才玩得起,現在 AI 變成每個維護者的免費小幫手。」
簡單講,以後「沒錢做資安」不再是藉口。只要你是開源專案的作者,就能讓 Claude 幫你 3 秒抓漏、自動修補,再推送到全世界。
小結:AI 讓老軟體脫胎換骨
- 27 年漏洞都能被翻出來,證明沒有 AI 掃不到的死角。
- 3 秒產生修補檔,速度比工程師泡一杯咖啡還快。
- 台灣從報稅、轉帳到醫療系統,全部受益,資安風險直接打 1 折。
現在就打開你手上的開源專案,讓 AI 先幫你掃一遍,今晚睡個好覺。
