Jay 發(fā)自 凹非寺
量子位 | 公眾號(hào) QbitAI

Linux內(nèi)核維護(hù)者崩潰了。

現(xiàn)在AI找Bug的速度，比他們修Bug還快。

好不容易加班加點(diǎn)掃完雷，睡一覺醒來(lái)——

郵箱又被一堆新的漏洞報(bào)告塞爆了。

從今年開始，每天雷打不動(dòng)收到5到10份報(bào)告，周二周五尤其多。

最搞心態(tài)的是，這些AI生成的報(bào)告，竟然大部分都還是對(duì)的，想摸魚都沒借口，何況這提交者還是一個(gè)不用睡覺的“賽博監(jiān)工”。

干不完，活根本干不完。

誰(shuí)曾想呢，AI成了Linux開發(fā)者的賽博馬鞭。

這有點(diǎn)嚇人（也挺累的）。

但又能咋辦呢？

既然漏洞都擺在這兒了，總不能裝死等著被黑客偷家吧？

只能硬著頭皮熬夜開修。

最后這位維護(hù)者也只能無(wú)奈攤手：短期內(nèi)是沒轍了，勸同行們做好心理準(zhǔn)備，大家一起受著吧。

我們可能將迎來(lái)一段持續(xù)數(shù)年的大混亂時(shí)代。

一夜之間，AI成了白帽黑客

這并非某個(gè)維護(hù)者的獨(dú)自悲傷。

“幾個(gè)月前，我們收到了一些AI生成的低質(zhì)量安全報(bào)告，”Linux內(nèi)核負(fù)責(zé)人Greg Kroah-Hartman回憶道，“我們當(dāng)時(shí)壓根沒當(dāng)回事。”

起初，人們都以為這只是AI生成的又一堆垃圾。

誰(shuí)曾想，一夜之間，AI搖身一變，成了頂尖的白帽黑客。

各種AI報(bào)告瘋狂轟炸郵箱，而且正確率極高——

打開一封，誒，這個(gè)說(shuō)的還蠻有道理。

再看下一封，誒，怎么這個(gè)說(shuō)的也是對(duì)的？？

隨即兩眼一黑，開啟了永無(wú)止境的打補(bǔ)丁……

奇點(diǎn)來(lái)的過(guò)于突然，就連Greg這樣的內(nèi)核大佬都感到一頭霧水：

我們不知道發(fā)生了什么，沒人知道。

Greg表示，各大開源項(xiàng)目的安全團(tuán)隊(duì)私下交流非常頻繁，他很明確地表示，“所有開源安全團(tuán)隊(duì)目前都在經(jīng)歷這件事。”

至今都沒緩過(guò)神來(lái)——到底是哪個(gè)新的AI工具橫空出世了？

還是人們突然集體接入潛意識(shí)，不約而同地一拍腦袋：

“嘿，用AI挖漏洞好像很有意思，咱們一起來(lái)試試吧。”

無(wú)論原因究竟是什么，一個(gè)是事實(shí)是確定的——

海嘯真的來(lái)了。

Linux開發(fā)者受不了了！

兩年前，大概每周只有2到3份報(bào)告，過(guò)去一年增長(zhǎng)到了每周大約10份……
今年開始，每天都是5-10份。

LWN.net上，一位網(wǎng)名叫wtarreau的Linux內(nèi)核維護(hù)者，曬出了自己的“崩潰時(shí)刻”。

報(bào)告數(shù)量激增只是個(gè)表象。

真正讓他頭皮發(fā)麻的是，每天都能看到以前從未見過(guò)的“奇觀”，反復(fù)上演：

兩個(gè)不同的人，提交了同一份漏洞報(bào)告

要知道，以前想找出安全漏洞，通常需要比較高的技術(shù)門檻，一份報(bào)告往往是人工深入分析出來(lái)的。

這也意味著，每個(gè)人的思路都不一樣，大家會(huì)走向不同的方向。

在Linux這么龐大的代碼庫(kù)里，重復(fù)發(fā)現(xiàn)同一個(gè)漏洞？

這概率簡(jiǎn)直比中彩票還低。

唯一的解釋就是：現(xiàn)在有一大堆本來(lái)不是搞安全的人，都開始用AI來(lái)找漏洞了。

并且樂(lè)此不疲。

這讓wtarreau的工作量瞬間爆炸，不得不擴(kuò)張團(tuán)隊(duì)，搖人來(lái)幫忙。

不過(guò)，wtarreau倒沒有說(shuō)抱怨什么，反而表示這是一種“幸福的煩惱”。

但反過(guò)來(lái)想想，說(shuō)不定也是件好事。

好消息是，我懷疑現(xiàn)在bug報(bào)告的速度，已經(jīng)比開發(fā)者編寫bug的速度快了。
所以，我們實(shí)際上可能正在清理積壓已久的bug。

這讓wtarreau回想2000年之前，那是個(gè)令安全維護(hù)者們魂?duì)繅?mèng)繞的黃金時(shí)代。

那時(shí)候，行業(yè)對(duì)安全漏洞的容忍度極低，根本沒有現(xiàn)在這么多“屎山代碼”。

互聯(lián)網(wǎng)還沒普及，沒法像現(xiàn)在這樣OTA在線打補(bǔ)丁。

軟件得刻錄進(jìn)CD或者寫進(jìn)成百萬(wàn)張軟盤里分發(fā)，如果這面有啥嚴(yán)重的安全漏洞……完都完了。

所以，那時(shí)候的軟件必須經(jīng)得起千錘百煉。

如今，軟件行業(yè)可能會(huì)被AI倒逼著，重新?lián)炱疬@種“變態(tài)”的質(zhì)檢標(biāo)準(zhǔn)。

“發(fā)布完就撒手不管”的模式徹底行不通了。

每款軟件現(xiàn)在都是活靶子。

封禁機(jī)制失效了，廠商如果發(fā)現(xiàn)了漏洞，再?zèng)]有借口“藏著不說(shuō)”。

畢竟，即便有人提前通知了廠商，誰(shuí)敢保證不會(huì)有壞人也用AI發(fā)現(xiàn)了同樣的問(wèn)題，然后拿去攻擊用戶？

所以一旦有bug被報(bào)告，維護(hù)者必須立馬修復(fù)。

對(duì)此，wtarreau表示很興奮。

雖然聽上去有點(diǎn)嚇人，也確實(shí)挺累，但軟件質(zhì)量可能會(huì)迎來(lái)一次前所未有的大提升。

不過(guò)，對(duì)于這種“幸福的煩惱”，有網(wǎng)友表示完全無(wú)法共情。

他直言這些Linux開發(fā)者純粹是在自我感動(dòng)，有些缺陷根本無(wú)人在意，盲目升級(jí)反而會(huì)帶來(lái)兼容性災(zāi)難。

因此，他建議維護(hù)者們集中注意力，不用AI說(shuō)什么就改什么，只要把那些最嚴(yán)重的系統(tǒng)級(jí)漏洞把好關(guān)就行了。

對(duì)于這個(gè)觀點(diǎn)，另一位網(wǎng)友則毫不客氣地指出：這完全是無(wú)稽之談，純純是在找借口。

每個(gè)人都覺得“哦，我的使用場(chǎng)景永遠(yuǎn)不會(huì)遇到這些bug”，但總會(huì)有倒霉蛋遇到某個(gè)特定的bug，然后被逼瘋。

打不過(guò)就加入

不過(guò)，這里或許還有一個(gè)更現(xiàn)實(shí)的問(wèn)題——

“幸福的煩惱”可能過(guò)于美好了，誰(shuí)能保證，這不會(huì)是一場(chǎng)史無(wú)前例的安全地獄？

維護(hù)者修bug的手速，真的能跑贏犯罪分子用AI挖漏洞的速度嗎？

但其實(shí)也沒事兒，打不過(guò)，那咱就加入嘛。

目前，AI在Linux內(nèi)核開發(fā)里更多還是輔助，還沒正式寫完整代碼。

但如今，這條界限正在變得越來(lái)越模糊。

內(nèi)核大佬Greg自己就已經(jīng)開始拿AI做實(shí)驗(yàn)了。

我當(dāng)時(shí)隨手輸了個(gè)很傻的提示詞。結(jié)果它反手就甩給我60個(gè)補(bǔ)丁，其中三分之二竟然是對(duì)的。

雖說(shuō)這些補(bǔ)丁還得人工清理一下、補(bǔ)個(gè)漂亮的提交說(shuō)明，再整合進(jìn)去，但絕對(duì)不能管它們叫“AI垃圾”。

“這些工具是有用的，”Greg坦言，“我們不能裝看不見。它們真的來(lái)了，而且越來(lái)越強(qiáng)。”

開發(fā)者們的身體也很誠(chéng)實(shí)。“我們已經(jīng)看到一些補(bǔ)丁確實(shí)是由AI生成的，”Greg補(bǔ)充道。

而這樣做最大的好處，就是響應(yīng)速度。

Greg提到，現(xiàn)在我們有很多機(jī)器人在盯著補(bǔ)丁檢查。

如果檢查不通過(guò)，開發(fā)者能迅速收到答復(fù)，并給出反饋：“行，那我明天再提交一個(gè)版本。”

這樣一來(lái)，打補(bǔ)丁的速度，會(huì)被拉齊到和AI挖洞速度同一水平。

對(duì)于Linux來(lái)說(shuō)，跟AI的關(guān)系已經(jīng)是他們不得不思考的問(wèn)題了。

這既是機(jī)遇，也是挑戰(zhàn)。

一方面，AI帶來(lái)了新的漏洞來(lái)源，加重了人工審查負(fù)擔(dān)。

但另一方面，AI也在幫助緩解這種壓力。

或許，Linux內(nèi)核維護(hù)者們?nèi)缃袼媾R的，正是這場(chǎng)AI革命全景圖的縮影。

AI正在飛速發(fā)展，而這種發(fā)展，也逼得我們不得不去擁抱它。

系好安全帶吧。

參考鏈接：
[1]
https://lwn.net/Articles/1065620/
[2]
https://news.ycombinator.com/item?id=47611921
[3]
https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/