最近，开源圈被一场突如其来的"AI 找 Bug 大战"搅得天翻地覆。 一边是坐拥万亿美元资源的 Google Project Zero（PZ）及其 AI 漏洞猎手 Big Sleep；另一边，是由全球 志愿者维系、为无数软件和浏览器提供多媒体支持的开源框架 FFmpeg。 这场冲突的核心，并不是 Bug 本身，而是一个更现实的问题：谁该负责修复这些由 AI 发现的 Bug？ ——当企业用强大的 AI 安全工具扫描开源代码，是否就能理所当然地把修复责任"甩"给无偿维护者 们？ 一切的导火索：Google 的"Bug 报告透明化"新政 要理解这场纷争，要先回到 2025 年 7 月。那时，Google Project Zero 宣布试行一项名为 "Reporting Transparency"（报告透明化） 的新政策。 按照这一政策，Google 在发现 Bug 后一周内，就会公开说明"发现了哪个项目的问题"，并明确披露时 间点和修复期限——即使 Bug 尚未修复。不过，厂商（或项目）仍有标准的 90 天修复窗口。 Project Zero 负责人 Tim Willis 当时写道："我们在原有流程的最前面，增加了 ...