在Sourceforge.net上,Igor Pavlov本人也发布了一系列声明,试图澄清事实。他表示:“经过分析,我们可以确定,Twitter上的这段漏洞代码实际上是通过大型语言模型(LLM, AI)生成的。”他进一步解释道:“这段所谓的‘假’代码中包含了这样的注释:‘该漏洞针对的是7-Zip软件中LZMA解码器的问题。利用精心构造的畸形LZMA流的.7z文件,可以触发RC_NORM函数中的缓冲区溢出问题。’”“然而,在 LZMA 解码器中并未发现 RC_NORM 函数。相反,7-Zip 在其 LZMA 编码器和 PPMD 解码器中包含了 RC_NORM 宏。因此,LZMA 解码代码并不会调用 RC_NORM。漏洞说明中提及 RC_NORM 的部分显然是不准确的。” 尽管7-Zip是一款开源软件,但据外媒报道,目前大多数用户都站在Igor一边,对所谓“NSA员工”在Twitter上大肆渲染存在0-day ACE漏洞的行为感到颇为不满。因此,普通用户不必过于担心。如果对此仍有疑虑,外媒建议可以采取一些措施,比如执行安全扫描,检查任何可疑的7-Zip兼容格式文件,尤其是那些来源不明的。正如之前所述,触发此漏洞需要用户主动打开含有漏洞的受污染压缩包。否则,所有权威信息都显示,这个漏洞可能根本不存在,相关讨论也可能是由人工智能生成的,并非出自真正的黑客之手。  |
