AI 找漏洞后的披露门禁：先验证再公开，先补丁再复盘

这篇解决什么

漏洞发现提速以后，未经验证的线索容易造成维护者压力和公开风险。披露流程要把技术证据、影响范围、补丁准备和沟通窗口拆开管理。

适合谁

适合安全研究员、开源项目负责人、企业安全响应团队和技术媒体编辑。

操作步骤

1. 先确认线索是否可复现并排除环境误差
2. 记录受影响版本、默认配置和攻击前置条件
3. 联系维护者并约定反馈窗口
4. 补丁准备阶段只共享最小必要证据
5. 公开前确认修复版本、缓解动作和用户升级路径
6. 公开后统计实际修复率和误解点

可复制模板

披露编号：
受影响版本：
前置条件：
维护者反馈窗口：
补丁状态：
公开口径：
用户缓解动作：

验收清单

• 已复现
• 影响版本明确
• 维护者已接收
• 公开口径克制
• 用户升级路径清楚

常见错误

• 只收藏产品更新，没有把它改成当天能执行的工作卡。
• 只看发布标题，没有确认账号权限、适用版本、成本和数据边界。
• 把 AI 自动化结果直接当结论，没有保留人工复核和失败恢复动作。
• 外部链接散落在聊天记录里，后续复查时找不到来源和日期。

30 分钟小样本

先选一个真实但低风险的任务。前 5 分钟写清输入材料和目标产物；中间 15 分钟按本文步骤执行一次；最后 10 分钟记录输出、人工修改量、失败点和下一次复用条件。小样本通过后，再扩展到团队模板或固定 SOP。

复用方式

第一次执行时，把它当成个人操作卡；第二次执行时，把成功步骤整理成团队模板；第三次执行时，再判断是否值得升级成固定 SOP、工具页或培训材料。每次复查都要看官方页面是否改版、权限或价格是否变化、原来的示例是否还能跑通。

资料依据

• Anthropic / Project Glasswing: An initial update / 2026-05-22

标签