谷歌AI怒刷“存在感”，FFmpeg怒怼：别光找Bug，有本事你来修啊！

TL;DR：

一场由谷歌AI“大模型”挑起的开源“骂战”正在上演！谷歌Project Zero带着AI“漏洞猎手”Big Sleep，给开源大佬FFmpeg狂甩Bug报告，还实行“限时曝光”政策，结果被FFmpeg直接开怼：别光会“指手画脚”，有种自己写补丁啊！这波操作，直接把开源社区的“内卷”与疲惫摆在了台面上。

“惹是生非”这件事，有时候真的离不开“事儿妈”体质和“工具人”的完美配合。这不，最近科技圈就上演了一出“AI当红娘，大厂与开源社区在线掐架”的年度大戏。一边是坐拥万亿资源的Google Project Zero（简称PZ），带着自家AI“漏洞猎手”——“大睡哥”Big Sleep；另一边，是为全球无数软件、浏览器默默奉献的多媒体基石——开源框架FFmpeg。

这事儿的核心，可不是Bug本身，而是那个“你发现的Bug，凭什么我来修”的世纪难题。当巨头用AI高效扫描开源代码，然后把漏洞报告连同“限时修复”的催命符一起甩给免费打工的志愿者时，FFmpeg怒了：“凭什么？！你光找不修，搁这儿‘凡尔赛’呢？”

Google的“透明披露”新政：Bug来了，你接不接？

故事得从2025年7月说起。彼时，Google Project Zero雄心勃勃地推出了一项名为“Reporting Transparency”（报告透明化）的新政策¹。这政策简直就是给开源社区加了一把“催熟剂”：Google发现Bug后，一周内就会公开披露“哪个项目出了问题”，并设定明确的修复期限——即便Bug还没修好，也要先“社死”一波。虽然留给厂商或项目的标准修复窗口依然是90天，但公开的压力就像一把达摩克利斯之剑，高悬头顶。

Project Zero的负责人Tim Willis当时振臂一呼：“我们在流程最前面，加了一个公开步骤！”¹ 他解释说，这么干是为了缩短“上游补丁滞后”——也就是Bug修好了，用户却迟迟用不上的那个时间差。而让这政策效率飙升的，正是来自Google DeepMind的AI安全引擎——Big Sleep。

到了2025年8月初，Big Sleep果然不负众望，在多个主流开源项目中一口气发现了大约20个Bug²。其中，咱们的“老实人”FFmpeg不幸中招。根据Google的“透明披露”机制，Bug报告很快就被晾在了公共问题追踪器上，FFmpeg的维护者们发现自己像被点了名，成了全网“公开处刑”的对象。

虽然大部分Bug的风险等级只是“低”或“中等”，但关键在于，Google只报告Bug，却没提供任何可直接使用的补丁。换句话说，就是Google用AI帮你“照妖镜”照出了妖精，然后指着你说：“喏，妖精在那儿，你赶紧去捉！”还设定了捉妖的“KPI”，但捉妖的法宝，不好意思，没有。

FFmpeg的怒吼：“你行你上啊！”

这波操作，直接把FFmpeg的开发者们整破防了。他们在社交平台X（前Twitter）上公开发泄不满，直接把Google怼上了天。

“我们非常重视安全，但这合理吗？一家万亿美元公司用AI扫描我们的代码，然后让志愿者无偿修它发现的Bug？”

FFmpeg的开发者们觉得，这根本不是什么安全合作，而是妥妥的“企业级倒逼”。一个坐拥无数资源、挥金如土的科技巨头，用自家顶尖AI挖出漏洞，然后把修复的重担和舆论压力，一股脑儿地丢给一群“用爱发电”的志愿者团队。

一位开发者愤怒总结道：

“找到Bug是好事，但你不给补丁、只催修复，这不是帮忙，是添堵。我们的立场很简单——别光炫技，直接提个patch吧！”

言下之意就是：“你行你上啊，别光说不练！”这波操作，直接让“光说不练假把式”这句话有了新的AI版本。

“安全工程师”与“开源打工人”：一场理念的“左右互搏”

在X平台上，这场“AI找Bug”引发的口水战迅速升级，形成了泾渭分明的两大阵营：

安全研究阵营（力挺Google）：

• “责任第一”派： 认为FFmpeg这么大的影响力，已经成了互联网的关键基础设施，就该负起修复Bug的责任，不能拿“志愿项目”当挡箭牌。
• “分工明确”派： 安全团队只负责发现问题，不负责修，术业有专攻嘛！
• “早披露有利无害”派： AI只是比坏蛋黑客更早一步发现漏洞，提前曝光有益无害。

开源阵营（力挺FFmpeg）：

• “光报不修没意义”派： 发现Bug当然好，但Google应该“好事做到底”，顺手提供修复代码。
• “别榨干志愿者”派： 这种带着时间限制的公开压力，会加速开源开发者的倦怠，让他们分分钟“撂挑子不干”。
• “警惕XZ Utils教训”派： 去年XZ Utils后门事件³的血泪史告诉我们，过度依赖少数志愿者，本身就是一种巨大的安全风险。

你看，这哪是Bug引发的争吵，简直是关于“互联网精神”和“企业责任”的理念大碰撞！

这不是第一次了：开源维护者的“累觉不爱”

其实，类似的矛盾早就不是什么新鲜事儿。FFmpeg也不是第一个对Google Project Zero“敢怒不敢言”的团队。

今年早些时候，libxml2的维护者Nick Wellnhofer就曾抱怨过，自己花费大量时间为第三方报告的问题进行漏洞分级，却一分钱都拿不到。Nick直接点名Google：

“尤其是面对Google Project Zero——那些最顶尖、最富有的安全团队盯着你这些志愿者时，你真的会觉得喘不过气。”

后来，Nick因为疲惫不堪，直接退出了libxslt的维护工作。他说这种“被追着修Bug”的氛围，让开源开发变得一点也不好玩。而这次FFmpeg团队也透露，他们内部已经有一位核心开发者因此离开了！

这不禁让人想起2024年的XZ Utils后门事件：当时，一个维护者被攻击者渗透，导致全球Linux发行版差点被植入供应链后门。这赤裸裸地揭露了一个残酷真相：支撑全球关键开源基础设施的，很多时候只靠着几个人，甚至一两个人，在用他们的夜晚时间“苟”着。

AI发现的Bug，到底谁来修复？这“锅”谁背？

目前，这场争论还在继续。Google一方面强调，他们的目标是让Bug在被黑客利用之前就被修复，听起来简直是**“人间清醒”。但FFmpeg则认为，Google的做法完全忽视了开源社区的残酷现实**：没人付钱、没人雇人、没人能随叫随到，更别提“按时修Bug”了。

在X上，FFmpeg继续“嘴炮”输出：

“多有意思啊，这些安全研究员在发现Bug时言辞凶狠，但当你让他们自己写补丁时，他们立刻就不高兴了。”

这场“AI找Bug”的风波，更像是一面照妖镜，让我们重新审视了互联网世界的底层逻辑：那些我们习以为常、视为理所当然的关键基础设施，往往都是由一群“用爱发电”的志愿者，在他们的业余时间里“缝缝补补”才得以维持。现在AI的“高效扫描”，反而让这些“苦逼”的打工人更累了——Bug报告越来越多，但真正能动手修复的人手却越来越少。

正如一位开发者在评论中所说：

“这场争论其实是必要的。因为它暴露了一个尴尬的真相——现代互联网的根基，建立在极其脆弱的善意之上。”

那么，关于Google和FFmpeg的这场“AI找Bug”罗生门，你的看法又是什么呢？这口“锅”，到底该谁来背？

引用

• 谷歌
• FFmpeg
• AI找Bug
• 开源生态
• 漏洞修复