事件背景 - 2025年7月，Google Project Zero宣布试行名为“报告透明化”的新政策，在发现Bug后一周内即公开披露问题存在及修复期限，但不会公布技术细节[3] - 该政策旨在缩短“上游补丁滞后”时间，即Bug在上游修复后用户迟迟收不到修补版本的时间差[3] - Google利用其AI安全引擎Big Sleep（由Google DeepMind开发）来实现这一策略[3] 核心冲突 - 2025年8月初，Google公布Big Sleep在多个主流开源项目中发现约20个Bug，其中包括被广泛使用的多媒体框架FFmpeg[5] - 根据透明披露政策，Google在公共问题追踪器上发布了Bug报告条目，显示部分Bug在8月中旬至9月间已提交给FFmpeg团队[5] - 大多数Bug风险等级被标注为“低”或“中等”，但FFmpeg维护者被迫在公开监督下修复Bug，而Google未提供可直接使用的补丁[6][7] - FFmpeg开发者认为这是“企业级倒逼”，万亿美元公司用AI扫描代码后让志愿者无偿修Bug[9] 双方立场分歧 - 安全研究阵营支持Google：认为FFmpeg作为互联网级关键供应商有义务修复漏洞，不能拿“志愿项目”当借口；安全团队只负责发现问题不负责修；早披露有利无害[11] - 开源阵营支持FFmpeg：认为光报不修没意义，Google应贡献修复代码；带时限的公开压力会加剧开源开发者倦怠与流失；过度依赖少数志愿者本身就是安全风险[11] 行业影响与历史先例 - 类似矛盾非首次发生，今年早些时候libxml2维护者Nick Wellnhofer也表达过类似挫败感，因疲惫退出了libxslt维护工作[11][12] - FFmpeg团队内部已有一位核心开发者因此离开，让人想起2024年XZ Utils后门事件，表明全球关键开源基础设施多靠少数人支撑[12] - 争论暴露现代互联网根基建立在脆弱善意之上，AI高效扫描反而让志愿者更疲惫，Bug增多而修复人手减少[14]