Филиппо, лид команды безопасности Go, говорит, что старые правила работы с отчётами об уязвимостях больше не работают. Раньше он объяснял новичкам: обычные issue в трекере — это просьбы пользователей, и на них можно не отвечать. А вот баг-репорты от исследователей — это подарок. Вы заслужили спасибо, быстрое реагирование и упоминание в спасибах. Конфиденциальность была критична: исследователь давал вам время закрыть дыру, пока атакующие не нашли её сами.
Это работало, потому что настоящие специалисты по безопасности были редкостью. Их инсайт был ценным ресурсом. Но на дворе 2026 год, и всё изменилось. LLM теперь почти так же хороши, как любой исследователь. Запустить их может кто угодно: и мейнтейнеры, и злоумышленники. Инсайт больше не дефицит. Узкое место сместилось: проблема не в том, чтобы найти потенциальную уязвимость, а в том, чтобы понять, какая из них реальна. Внешние исследователи без доверительных отношений уже не могут помочь с этим триажем. Разбирать результаты LLM и разбирать письма из security@ — примерно одно и то же по соотношению сигнала к шуму.
Конфиденциальность и координация тоже потеряли смысл. Атакующим не нужно ждать публичного раскрытия уязвимости — они просто спросят у своей LLM. И у них, скорее всего, та же проблема с триажем, что и у защитников. Филиппо считает, что эпоха «особых» баг-репортов закончилась. Как бы странно и неудобно это ни звучало. Теперь работа сводится к триажу, быстрому исправлению и, как всегда, предотвращению. И всем, видимо, придётся разобраться, как запускать анализ через LLM прямо в CI.
В конце Филиппо коротко рассказывает о своей работе: его труд поддерживает организация Geomys (команда профессиональных мейнтейнеров Go), которую спонсируют Ava Labs, Teleport, Datadog, Tailscale и Sentry. Через ретейнеры они обеспечивают устойчивость открытой разработки, а взамен получают прямой доступ к экспертизе.