漏洞库存有限论

漏洞库存有限论认为软件中的漏洞总量是有限的、可穷尽的，AI可以将其全部找出。这是AI安全审计乐观结论的理论基础。

核心论点

• 有限性：软件是以模块化方式设计的，目的是让人类能够推理其正确性，因此其复杂度是有限的
• 可穷尽性：AI可以系统地、全面地扫描代码，找出所有人类理论上能找到但因时间和精力限制而没找到的漏洞
• 先发优势：率先完成AI安全审计的团队可以获得先发优势，进入"比勉强跟上好得多的未来"

支持证据

• Mozilla CTO Bobby Holley的声明：“我们没有发现任何一类人类能找到但这个模型找不到的漏洞”
• Firefox 150一次性修复271个漏洞，且没有发现"超越人类理解"的新型漏洞

争议与张力

• 与网络安全领域普遍认为的"漏洞是无限的、攻防是动态博弈"的传统认知存在潜在冲突
• 随着软件复杂度增加和AI自身生成代码的普及，漏洞的总量是否会动态增长仍存疑问

相关页面

• [[ai安全审计]] — 漏洞库存有限论的应用场景
• [[漏洞发现不对称性]] — 漏洞库存有限论试图解决的核心问题
• [[mythos]] — 验证漏洞库存有限论的AI工具