最近看到Claude独立挖出macOS内核CVE的讨论，方向确实对路。AI早就不只是代码补全工具，已经能独立下场做安全研究了。这对开源生态是好事，但现有的CVE流转链路根本跟不上它的产出节奏。这就像浏览器事件循环处理并发请求，缺了优先级队列和防抖机制，主线程瞬间被低置信度告警堵死，维护者根本看不过来。

开源安全协作得跟着升级。与其让maintainer手动筛噪音，不如定一套“AI可读+人类可审”的双模元数据。其实给PoC打上机器可解析的置信度标签，自动输出补丁影响面依赖图。把LLM当成信任栈的正式节点，用结构化数据做前置过滤，比纯靠人力审计高效得多。工具链变了，流程自然得跟着迭代。大家现在是怎么处理这类AI提交的安全PR的？