馬斯克日前表示,在完成資訊安全漏洞審查後,𝕏(前身為 Twitter)將「無一例外 with no exceptions」地全面開源完整程式碼庫。更引人注目的是,他承諾邀請第三方審查機構檢驗實際運作中的系統,以證實線上執行的程式碼與公開的開源內容完全一致。這番唯有完全透明才值得信任的宣示,受到市場矚目。
「一旦我們完成安全漏洞審查,我們將把 𝕏 的整個程式碼庫開源,無一例外。此外,我們還將邀請第三方審查員檢驗運作中的系統,以確認開源程式碼確實是正在執行的程式碼。透過完全透明建立的信任,才是唯一值得相信的信任。」馬斯克如是說。
並非首次,但規模空前
這並非 𝕏 首度嘗試開源。2025 年,𝕏 已公開「為你推薦」演算法的原始碼,這套演算法是決定使用者資訊流內容推送與流量分配的核心系統, 2026 年 1 月,馬斯克更宣布將公開包含自然貼文與廣告推薦在內的新演算法,並承諾每四週更新一次。然而過往的開源範圍僅限於平台核心機制的一小部分,這次承諾涵蓋的是支撐平台運作的完整程式碼庫,徹底程度前所未見。
開源的底氣與資安防衛戰
將全球性社群平台的程式碼庫完全公開,等同於將整座城堡的設計圖公諸於世。反對者的擔憂顯而易見,攻擊者將更容易發掘系統弱點,發動零時差(Zero-day)攻擊。
然而馬斯克的策略顯然是陽光是最好的消毒劑。在正式開源前,𝕏 勢必需要經歷極其嚴苛的內外部紅隊演練,將潛在漏洞徹底修補,這也正是他將「完成安全漏洞審查」設為前提條件的原因。
CyberQ 認為,馬斯克他們可能也有 Claude 等先進 AI 模型被美國政府要求不對外開放的資安特化版本使用權,如旗艦資安模型 Claude Mythos(Mythos 5),以及馬斯克自家 Grok AI 等資源,這次確實很有底氣內部整頓一遍之後拿出來開源再請第三方來驗證。
這種從隱蔽式安全(Security through Obscurity)轉向主動防禦與社群共建的思維,風險極高,但若能借助全球資安研究人員的共同監督,確實有機會打造出更具韌性的系統架構。Linux 核心與主流加密演算法的發展史,某種程度上已驗證了這條路徑的可行性。
杜絕黑箱:第三方驗證解決了什麼問題?
科技業過往的透明化嘗試,長期面臨一項質疑,企業公開的是經過整理的乾淨程式碼,伺服器後台實際執行的卻可能是另一套版本,外界無從得知其中是否夾帶額外的監控或過濾機制。
馬斯克這次特別強調邀請第三方審查員檢驗運作中的系統,正是直擊這個信任核心。從技術上看,要證明線上執行的二進位檔對應於公開的原始碼,涉及可重現建置(Reproducible Builds)、遠端證明(Remote Attestation)等機制,工程門檻極高。若此機制能成功落地,將為業界建立一套實時稽核的高標準範本。
透明度如何改變產業合規與隱私安全
此宣示的時機亦值得玩味。歐盟委員會上月才依《數位服務法》(DSA)對 𝕏 開出 1.2 億歐元罰款,理由包括「藍勾勾」認證訂閱、廣告庫透明度不足,以及未能向研究人員提供平台公開資料的存取權,本週歐盟更決定將針對演算法與非法內容傳播的保留令延長至 2026 年底。
在監管壓力與資料隱私、演算法操弄疑慮高漲的背景下,若使用者與監管機構未來能公開檢視每一行程式碼,從推薦演算法到資料儲存邏輯無所遁形,合規的邊界將被重新定義:企業不再依賴精美的合規報告說服大眾,程式碼本身就是最好的佐證。這種將信任建立在「驗證的技術實體而非企業口頭承諾上的做法,值得持續關注。
信任實驗,還是口號宣示?
馬斯克過往的開源承諾並非全無爭議,當初 xAI 的 Grok-1 於 2024 年開源後,程式碼庫已兩年未更新,這次他說的「無一例外」的承諾能否兌現、時程為何,仍有待觀察。這場以完全透明為名的信任實驗,考驗的不僅是 𝕏 技術團隊的資安防護能力,更是整個開源社群的協同防禦機制。開源與安全能否並存,全世界都在拭目以待。








