Google旗下著名漏洞挖掘团队Project Zero宣布,对其负责披露政策做出新调整,自7月29日起将在厂商收到漏洞通报后一周内公开有限细节,包括受影响的厂商或开源项目、产品及报告时间与90天披露截止日期。这一变化在继续执行原有90天+30天修补宽限政策的基础上,强调透明度并加速厂商或开源项目补丁发布速度,但也引发业内对可能产生的恐慌及风险的担忧。
有安全专家指出,尽管提前公示有助于推动漏洞尽快修补,但如果未明确披露漏洞严重性,容易引发不必要的恐慌。此外,Google作为巨头企业,自身利益与漏洞披露透明性关联紧密,对竞争对手产品的信心或将受到影响,因此Project Zero的中立性和标准一致性成为讨论焦点。
在威胁环境愈发复杂的当下,AI技术加快了漏洞逆向与挖掘进程,安全社区也就披露节奏、补丁发布和厂商责任展开热议。