AI 搶先找出漏洞

快速分享個昨天在推特上看到的有趣小專案

有個資安研究員 Eugene Lim 做了「Vulnerability-spoiler-alert」，原理是去掃幾個固定的開源專案，用 AI 去看最新的 commit 是不是在修漏洞，是的話反推回漏洞以及寫個 PoC。

由於一定是先發 commit 修完漏洞，然後才發版，所以如果有掃到的話，可以在發版前或是 CVE 公布前就先知道漏洞，因此作者把它稱為「Negative-Days」（但其實就算是一種 0 day 啦，不過稱為 negative day 確實也滿有趣的）

原始碼、相關文章以及網站本身都是公開的，最新的戰績是在 Grafana 提前找到了兩個那時尚未公開的漏洞：CVE-2025-41117 (XSS) and CVE-2026-21722 (Privesc)

雖然一定會有一些 false positive，但看起來成本應該沒有很高，而且達到的效益滿不錯的。

補充文章：https://vulnerabilityspoileralert.com/