Google 决定把1250万美元砸进开源安全这个大坑里。3月17号,Google 联合了一堆大公司,像亚马逊、Anthropic、微软/GitHub,还有OpenAI,打算一起把开源软件的安全给保下来。Google 把开源软件当成现代网络的“脊梁”,现在威胁又全都是AI搞出来的,所以他们觉得把基础设施弄安全太重要了。 作为Linux基金会Alpha-Omega项目的创始成员之一,Google 打算把1250万美元投给这个Alpha-Omega 和OpenSSF,专门帮维护者搞安全。资金拿来干吗?就是为了帮那些天天被AI报告轰炸的维护者们,让他们别再盯着漏洞看了,直接动手修。还有更狠的,把最新的安全工具直接塞到维护者手里,让AI发现的漏洞能立马变成修复行动。 Google 提到内部有个叫Big Sleep 的AI工具挺猛。去年7月还没到呢,也就是在2025年7月的时候,Big Sleep 就提前把黑客用来攻击SQLite的那个零日漏洞给拦住了。没过多久又搞了个叫CodeMender 的AI代理,不光能标记毛病,还能自己动手重写代码把补丁补上。 Google 说这俩工具证明了AI在保护开源生态上有变革的潜力。为什么要投钱?因为现在维护者太累了。像Python、React这些热门项目,每天都有成千上万条AI生成的漏洞报告过来,谁看得过来?质量还参差不齐。 有些项目实在受不了这种“告警疲劳”,比如cURL这个工具,以前开悬赏计划的时候老有人为了拿赏金发垃圾报告。后来维护者干脆把悬赏给关了,想从根上切断那些不良行为者提交无效报告的经济利益。Google这次跟这些大厂商一块儿掏钱,就是想直接给受重压的开源维护团队一些实在的帮助。 大家都觉得这是大型云与AI厂商在“反哺”它们依赖的开源基础设施。现在AI挖洞能力太强了,整个生态可能会被警报淹没或压垮。所以得靠这些钱和工具稳住阵脚。