主要观点：

• 安全研究常引发争议，专注于新漏洞发现的团队与法律等存在复杂关系。
• 谷歌 Project Zero 与 DeepMind 合作开发的 AI 代理 BigSleep 指向 FFmpeg 等开源项目，引发开源贡献者多年怨恨。
• 讨论了开源项目中安全研究、漏洞披露与 AI 的伦理问题，以及安全团队与软件开发团队之间的冲突。

关键信息：

• 安全研究团队发现软件漏洞并有时获许利用，常选择开源项目避免法律威胁。
• Google Project Zero 按 90 + 30 天披露漏洞时间表工作，旨在促使供应商修复漏洞。
• FFmpeg 是重要开源项目，BigSleep 在此发现 13 个漏洞，其中包括影响少数 LucasArts 游戏的使用后释放漏洞。
• AI 工具引发安全研究兴趣，如“Hackbot”，但在开源项目中应用存在争议，如 cURL 出现大量 AI 生成的虚假漏洞报告。
• FFmpeg 团队建议发送补丁帮助修复漏洞，各方应建立良好沟通与合作机制。

重要细节：

• 安全研究团队发现漏洞后，开源项目维护者面临艰难抉择，如是否按要求修复、是否感觉被利用等。
• 开源项目对 AI 生成代码态度不一，FFmpeg 拒绝接受，而一些安全团队利用 AI 提高效率但仍需人工审查。
• 对于安全团队，提交发现前要理解上下文，利用 AI 工具时需有人审核，能发补丁尽量发。
• 开源维护者和软件开发团队应制定安全报告规范，建立安全分诊流程，鼓励安全报告者成为贡献者，拥抱新安全工具。