Google打算在开源安全这块领域砸下重注,金额能有上百万美元。就在3月17号这天,它联合了一堆大型科技公司,打算把开源软件的安全性好好提一提。Google把开源软件看成是现代网络的“脊梁”,觉得现在AI驱动的威胁越来越多,保住开源基础设施的安全特别重要。 这次动作是给Linux基金会的Alpha-Omega项目助阵的,Google自己是这个项目的创始成员之一。它打算跟亚马逊、Anthropic、微软/GitHub还有OpenAI这些大公司一块掏腰包,总共要拿出1250万美元来“帮扶”开源社区。这笔钱交给Alpha-Omega和OpenSSF去管,主要是为了帮维护者搞定那些由AI驱动的安全威胁,不光是发现漏洞,还要真能修好它,再把那些好用的安全工具直接交到开发者手里,好把海量的AI发现转化成能马上动手干的活。 说到AI生成的安全发现,Google特意提了自家内部工具的本事。在2025年7月那会儿,他们家的AI代理Big Sleep就挺猛,在黑客把某个SQLite的零日漏洞变成武器之前就把事儿拦下来了。没过几个月,Google又悄悄弄出了个叫CodeMender的AI工具,不光能找出问题代码,还能自动动手改代码把补丁补上。Google觉得Big Sleep和CodeMender这些玩意儿“证明了AI能给更广泛的开源生态带来颠覆性改变”。 为啥要这么干?是因为好多重要开源项目的维护者现在正被“告警疲劳”折磨得不行。像Python和React这些大热项目的人每天都要面对成千上万条由AI自动搞出来的漏洞报告,既耗神又难以分辨好坏。有些项目被逼得没办法只好调整策略,比如说那个叫cURL的网络工具吧,维护者本来就被质量不高、可能是为了捞赏金的AI“垃圾报告”给淹了个透心凉,干脆就把漏洞悬赏计划关了,想从源头上断了那些坏人交无效报告的财路。 Google这次把这么多家科技巨头拉出来做背书投钱的目的挺明显:就是为了给那些压力山大的开源维护团队送点真金白银、提供持续的支持。大家都觉得这事儿是大云厂商和AI公司对它们特别依赖的开源基础设施的一种“反哺”;也是因为AI把自动化测试和挖洞的能力搞得太强了以后想通过资金和工具的投入来稳住整个开源生态,别让它在海量的告警声里崩掉。