L'IA sconvolge le culture della divulgazione coordinata delle vulnerabilità e della correzione dei bug

Gli approcci tradizionali alla gestione delle vulnerabilità software vengono sconvolti dalla capacità dell'IA di trovare e analizzare rapidamente le falle di sicurezza. Due culture dominanti sono coesistite a lungo: la divulgazione coordinata, in cui i ricercatori segnalano privatamente i bug ai manutentori con una finestra di 90 giorni per le correzioni, e la cultura 'i bug sono bug' in stile Linux, che corregge silenziosamente i problemi senza attirare l'attenzione. L'IA ora mina entrambe. Con gruppi assistiti dall'IA che scansionano i codebase, le vulnerabilità vengono scoperte molto più rapidamente: in un caso, la stessa falla ESP è stata segnalata indipendentemente da Kuan-Ting Chen solo nove ore dopo il rapporto iniziale del ricercatore Kim. Ciò rende rischiosi i lunghi embargo, poiché creano una falsa sicurezza e limitano chi può lavorare alle correzioni. Nel frattempo, l'alto volume di patch di sicurezza generate dall'IA aumenta il rapporto segnale-rumore per gli aggressori che esaminano i commit, rendendo più facile identificare le correzioni sfruttabili. L'autore suggerisce embargo molto brevi, resi possibili da strumenti di IA che possono accelerare i difensori, come potenziale soluzione. Un rapido test utilizzando Gemini 3.1 Pro, ChatGPT-Thinking 5.5 e Claude Opus 4.7 su un commit campione ha mostrato una capacità variabile di identificare le patch di sicurezza solo dai diff, illustrando la crescente capacità dell'IA in questo dominio.