把Bug“曝光”到全网，谷歌逼FFmpeg维护者“按时修复”，遭怒怼：别光用AI找Bug，有本事你自己修啊！

整理 | 郑丽媛 出品 | CSDN（ID：CSDNnews） 最近，开源圈被一场突如其来的"AI 找 Bug 大战"搅得天翻地覆。 一边是坐拥万亿美元资源的 Google Project Zero（PZ）及其 AI 漏洞猎手 Big Sleep；另一边，是由全球志愿者维系、为无数软件和浏览器提供多媒 体支持的开源框架 FFmpeg。 这场冲突的核心，并不是 Bug 本身，而是一个更现实的问题：谁该负责修复这些由 AI 发现的 Bug ？——当企业用强大的 AI 安全工具扫描开源 代码， 是否就能理所当然地把修复责任"甩"给无偿 维护者 们 ？ 一切的导火索：Google 的"Bug 报告透明化"新政 要理解这场纷争，要先回到 2025 年 7 月。那时，Google Project Zero 宣布试行一项名为 "Reporting Transparency"（报 告透明化） 的新政策。 按照这一政策，Google 在发现 Bug 后一周内，就会公开说明"发现了哪个项目的问题"，并明确披露时间点和修复期限——即使 Bug 尚未修复。不过， 厂商（或项目）仍有标准的 90 天修复窗口。 Project Zero ...