事件背景与核心冲突 - 事件核心是围绕AI发现开源软件漏洞后由谁负责修复的争议，一方是谷歌及其AI工具Big Sleep，另一方是开源框架FFmpeg的维护者 [1] - 争议焦点并非漏洞本身，而是企业使用AI工具扫描开源代码后，是否可以将修复责任完全转移给无偿的志愿者维护者 [1] 谷歌的新政策与AI工具应用 - 谷歌Project Zero于2025年7月试行名为"报告透明化"的新政策，在发现漏洞后一周内即公开披露漏洞存在的事实及修复期限，但不会公布技术细节 [3] - 此举旨在缩短"上游补丁滞后"的时间差，即漏洞在上游修复但用户迟迟收不到修补版本的时间 [3] - 帮助谷歌实现此策略的是其AI安全引擎Big Sleep，该工具由谷歌DeepMind开发 [3] - 2025年8月初，谷歌公布Big Sleep在多个主流开源项目中发现了约20个漏洞，其中包括FFmpeg [5] FFmpeg维护者的立场与反击 - FFmpeg开发者公开表达不满，认为谷歌的AI工具在向开源项目大量投递没有修复方案的漏洞报告，迫使维护者在舆论压力下无偿加班 [8] - 维护者指责一家万亿美元市值的公司用AI扫描代码，却让志愿者团队无偿修复漏洞，这是一种"企业级倒逼" [8] - FFmpeg团队的核心立场是要求谷歌不要只展示技术能力，而应直接提交修复补丁 [8] - 类似矛盾并非首次发生，libxml2的维护者Nick Wellnhofer也曾因类似挫败感退出维护工作，FFmpeg内部已有一位核心开发者因此离开 [16] 双方阵营的主要观点 - 安全研究阵营支持谷歌，认为FFmpeg作为互联网关键供应商有义务修复漏洞，不能以"志愿项目"为借口，安全团队只负责发现问题不负责修复 [9][10][11] - 开源阵营支持FFmpeg，认为只报告不修复没有意义，谷歌应贡献修复代码，带时限的公开压力会加剧开发者的倦怠与流失，并提醒勿忘XZ Utils事件的教训 [12][13][14] 事件反映的行业深层问题 - 争议暴露出现代互联网的关键基础设施往往由少数志愿者在业余时间维系，其根基建立在脆弱的善意之上 [18] - AI的高效扫描在发现更多漏洞的同时，也加剧了维护者的疲惫，导致漏洞增多而修复人手减少的局面 [18]