【安全圈】Linux 內核維護者崩潰了！AI 每天狂塞 10 份漏洞報告

關鍵詞

漏洞

Linux 內核維護者崩潰了。

現在AI 找 Bug 的速度，比他們修 Bug 還快。

好不容易加班加點掃完雷，睡一覺醒來——

郵箱又被一堆新的漏洞報告塞爆了。

從今年開始，每天雷打不動收到 5 到 10 份報告，周二周五尤其多。

最搞心態的是，這些 AI 生成的報告，竟然大部分都還是對的，想摸魚都沒借口，何況這提交者還是一個不用睡覺的 " 賽博監工 "。

干不完，活根本干不完。

誰曾想呢，AI 成了 Linux 開發者的賽博馬鞭。

這有點嚇人（也挺累的）。

但又能咋辦呢？

既然漏洞都擺在這兒了，總不能裝死等著被黑客偷家吧？

只能硬著頭皮熬夜開修。

最后這位維護者也只能無奈攤手：短期內是沒轍了，勸同行們做好心理準備，大家一起受著吧。

我們可能將迎來一段持續數年的大混亂時代。

一夜之間，AI 成了白帽黑客

這并非某個維護者的獨自悲傷。

" 幾個月前，我們收到了一些 AI 生成的低質量安全報告，"Linux 內核負責人 Greg Kroah-Hartman 回憶道，" 我們當時壓根沒當回事。"

起初，人們都以為這只是 AI 生成的又一堆垃圾。

誰曾想，一夜之間，AI 搖身一變，成了頂尖的白帽黑客。

各種 AI 報告瘋狂轟炸郵箱，而且正確率極高——

打開一封，誒，這個說的還蠻有道理。

再看下一封，誒，怎么這個說的也是對的？？

隨即兩眼一黑，開啟了永無止境的打補丁……

奇點來的過于突然，就連 Greg 這樣的內核大佬都感到一頭霧水：

我們不知道發生了什么，沒人知道。

Greg 表示，各大開源項目的安全團隊私下交流非常頻繁，他很明確地表示，" 所有開源安全團隊目前都在經歷這件事。"

至今都沒緩過神來——到底是哪個新的 AI 工具橫空出世了？

還是人們突然集體接入潛意識，不約而同地一拍腦袋：

" 嘿，用 AI 挖漏洞好像很有意思，咱們一起來試試吧。"

無論原因究竟是什么，一個是事實是確定的——

海嘯真的來了。

Linux 開發者受不了了！

兩年前，大概每周只有 2 到 3 份報告，過去一年增長到了每周大約 10 份……

今年開始，每天都是 5-10 份。

LWN.net 上，一位網名叫 wtarreau 的 Linux 內核維護者，曬出了自己的 " 崩潰時刻 "。

報告數量激增只是個表象。

真正讓他頭皮發麻的是，每天都能看到以前從未見過的 " 奇觀 "，反復上演：

兩個不同的人，提交了同一份漏洞報告

要知道，以前想找出安全漏洞，通常需要比較高的技術門檻，一份報告往往是人工深入分析出來的。

這也意味著，每個人的思路都不一樣，大家會走向不同的方向。

在 Linux 這么龐大的代碼庫里，重復發現同一個漏洞？

這概率簡直比中彩票還低。

唯一的解釋就是：現在有一大堆本來不是搞安全的人，都開始用 AI 來找漏洞了。

并且樂此不疲。

這讓 wtarreau 的工作量瞬間爆炸，不得不擴張團隊，搖人來幫忙。

不過，wtarreau 倒沒有說抱怨什么，反而表示這是一種 " 幸福的煩惱 "。

但反過來想想，說不定也是件好事。

好消息是，我懷疑現在 bug 報告的速度，已經比開發者編寫 bug 的速度快了。

所以，我們實際上可能正在清理積壓已久的 bug。

這讓 wtarreau 回想 2000 年之前，那是個令安全維護者們魂牽夢繞的黃金時代。

那時候，行業對安全漏洞的容忍度極低，根本沒有現在這么多 " 屎山代碼 "。

互聯網還沒普及，沒法像現在這樣 OTA 在線打補丁。

軟件得刻錄進 CD 或者寫進成百萬張軟盤里分發，如果這面有啥嚴重的安全漏洞……完都完了。

所以，那時候的軟件必須經得起千錘百煉。

如今，軟件行業可能會被 AI 倒逼著，重新撿起這種 " 變態 " 的質檢標準。

" 發布完就撒手不管 " 的模式徹底行不通了。

每款軟件現在都是活靶子。

封禁機制失效了，廠商如果發現了漏洞，再沒有借口 " 藏著不說 "。

畢竟，即便有人提前通知了廠商，誰敢保證不會有壞人也用 AI 發現了同樣的問題，然后拿去攻擊用戶？

所以一旦有 bug 被報告，維護者必須立馬修復。

對此，wtarreau 表示很興奮。

雖然聽上去有點嚇人，也確實挺累，但軟件質量可能會迎來一次前所未有的大提升。

不過，對于這種 " 幸福的煩惱 "，有網友表示完全無法共情。

他直言這些 Linux 開發者純粹是在自我感動，有些缺陷根本無人在意，盲目升級反而會帶來兼容性災難。

因此，他建議維護者們集中注意力，不用 AI 說什么就改什么，只要把那些最嚴重的系統級漏洞把好關就行了。

對于這個觀點，另一位網友則毫不客氣地指出：這完全是無稽之談，純純是在找借口。

每個人都覺得 " 哦，我的使用場景永遠不會遇到這些 bug"，但總會有倒霉蛋遇到某個特定的 bug，然后被逼瘋。

打不過就加入

不過，這里或許還有一個更現實的問題——

" 幸福的煩惱 " 可能過于美好了，誰能保證，這不會是一場史無前例的安全地獄？

維護者修 bug 的手速，真的能跑贏犯罪分子用 AI 挖漏洞的速度嗎？

但其實也沒事兒，打不過，那咱就加入嘛。

目前，AI 在 Linux 內核開發里更多還是輔助，還沒正式寫完整代碼。

但如今，這條界限正在變得越來越模糊。

內核大佬 Greg 自己就已經開始拿 AI 做實驗了。

我當時隨手輸了個很傻的提示詞。結果它反手就甩給我 60 個補丁，其中三分之二竟然是對的。

雖說這些補丁還得人工清理一下、補個漂亮的提交說明，再整合進去，但絕對不能管它們叫 "AI 垃圾 "。

" 這些工具是有用的，"Greg 坦言，" 我們不能裝看不見。它們真的來了，而且越來越強。"

開發者們的身體也很誠實。" 我們已經看到一些補丁確實是由 AI 生成的，"Greg 補充道。

而這樣做最大的好處，就是響應速度。

Greg 提到，現在我們有很多機器人在盯著補丁檢查。

如果檢查不通過，開發者能迅速收到答復，并給出反饋：" 行，那我明天再提交一個版本。"

這樣一來，打補丁的速度，會被拉齊到和 AI 挖洞速度同一水平。

對于 Linux 來說，跟 AI 的關系已經是他們不得不思考的問題了。

這既是機遇，也是挑戰。

一方面，AI 帶來了新的漏洞來源，加重了人工審查負擔。

但另一方面，AI 也在幫助緩解這種壓力。

或許，Linux 內核維護者們如今所面臨的，正是這場 AI 革命全景圖的縮影。

AI 正在飛速發展，而這種發展，也逼得我們不得不去擁抱它。

系好安全帶吧。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！