FFmpeg 向 Google 說:要不資助我們,要不別再送漏洞報告 (★ 181 分)
FFmpeg 是一套由社群志工幾乎全程開發的開放原始碼多媒體框架,負責音訊與影片的轉檔、播放、編輯、串流與後製特效,並廣泛被 VLC、Kodi、Plex、Google Chrome、Firefox 乃至 YouTube 等平臺採用。由於這些維護工作幾乎不受任何經費支持,FFmpeg 長期面臨「人人用、沒人付」的窘境。日前一支 Google AI 程式偵測到一支解碼 1995 年遊戲 Rebel Assault 2 所用 LucasArts Smush 編碼的小眾漏洞(CVE, Common Vulnerabilities and Exposures;通用漏洞與曝險編號),FFmpeg 團隊雖已由志工提交補丁,仍對這種「AI slop(人工智慧亂槍打鳥)報告」表達不滿,並質疑千億美金規模的大企業不應僅拿漏洞當籌碼,卻不提供修補資源。
這場矛盾始於 Google Project Zero(GPZ;專注公開安全漏洞的白帽團隊)今年七月試行的「揭露透明度(Reporting Transparency)政策」,規定在發現漏洞後一週內即對相關專案發出「已有漏洞但尚未公布細節」的通知,並在 90 天後強制公開詳細資訊,不論補丁是否完善。FFmpeg 在推特強調社群成員都是志工,難以在如此緊湊時程內完成深度程式碼審查與測試;前 libxml2 維護者 Nick Wellnhofer 也曾因類似壓力宣布卸任,指出「沒有任何金錢或人力補償,長期下來無法持續」。
在 Hacker News 討論串中,有人認為對小型、資源匱乏的開放原始碼專案提前公開漏洞,只會帶來更多惡意攻擊風險,因為駭客能利用已知 CVE 發動 zero-day(零時差)攻擊;也有人反駁稱,若不公布漏洞,就等於對使用者隱瞞危險,讓系統長期暴露於不確定風險。多數評論認同:無論漏洞由誰舉報,專案都必須自行判斷與修補;若真有能力挖掘漏洞的大企業,應該同步提供補丁或直接資助專案,而非把所有修復工作丟給社群志工。
也有討論建議,FFmpeg 可考慮為企業使用者導入商業支持合約或雙重授權模式,讓大公司按使用量付費,確保志工維護者獲得合理報酬;或直接由 Google、Amazon 之類企業設立專責團隊、提交補丁並回饋主線程式碼庫。面對 AI 自動化帶來的漏洞洪流與 90 天公開壓力,唯有結合公司資源與志工貢獻,才能兼顧安全性與開放原始碼專案的永續經營。
👥 110 則討論、評論 💬
https://news.ycombinator.com/item?id=45891016