3月17日,Google宣布将联合多家大型科技公司,对开源软件安全进行新一轮大规模投资,以提升开源社区的稳定性与安全性。 Google在声明中将开源软件形容为“现代网络的**脊梁”,并强调在“AI驱动威胁”愈发突出的当下,确保开源基础设施安全至关重要。
作为Linux基金会 Alpha-Omega 项目的创始成员之一,Google表示将与亚马逊、Anthropic、微软/GitHub 和 OpenAI 等公司共同承诺总额1250万美元的资金,用于“进一步投资开源社区的稳定与安全”。 这笔资金将由 Alpha-Omega 和 OpenSSF 负责管理,主要用于帮助开源项目维护者应对新一代 AI 驱动的安全威胁,从单纯发现漏洞进一步走向真正落地修复,并把更先进的安全工具直接交到维护者手中,从而将海量 AI 生成的安全发现转化为可快速执行的行动。
在谈到“AI 生成的安全发现”时,Google特意提及其内部 AI 安全代理工具的成果。 早在2025年7月,Google的 AI 代理 Big Sleep 就在黑帽黑客将某个 SQLite 零日漏洞武器化之前,提前发现并阻止了这一正在被利用的漏洞。 随后数月内,Google又低调推出名为 “CodeMender” 的 AI 代理,它不仅能标记安全缺陷,还能自动重写代码以完成修补工作。 Google表示,Big Sleep 和 CodeMender 等工具“展示了 AI 在保护更广泛开源生态方面的变革潜力”。
这轮资金投入的背景,是大量重要开源项目的维护者正饱受“告警疲劳”困扰。 在 Python、React 等热门项目中,维护者每天都要面对成千上万条由 AI 自动生成的漏洞报告,既耗费精力,也极难甄别质量。 一些项目为此被迫调整策略,例如广受使用的网络工具 cURL,在维护者长期被质量低下、疑似为谋取赏金而生成的 AI “垃圾报告”淹没之后,选择关闭漏洞悬赏计划,试图从源头上切断不良行为者提交无效报告的经济激励。
Google此次联合多家科技巨头发起的资金承诺,意在为这些承受巨大压力的开源维护团队提供更直接、可持续的支持。 在业界看来,这既是大型云与 AI 厂商对其高度依赖的开源基础设施的一种“反哺”,也是在 AI 带来前所未有的自动化测试与挖洞能力后,试图通过资金与工具投入,避免整个开源生态在告警洪流和安全压力中失衡。