北京
Jay 發(fā)自 凹非寺
量子位 | 公眾號 QbitAI
Linux內(nèi)核維護(hù)者崩潰了。
現(xiàn)在AI找Bug的速度,比他們修Bug還快。
好不容易加班加點掃完雷,睡一覺醒來——
郵箱又被一堆新的漏洞報告塞爆了。
從今年開始,每天雷打不動收到5到10份報告,周二周五尤其多。
最搞心態(tài)的是,這些AI生成的報告,竟然大部分都還是對的,想摸魚都沒借口,何況這提交者還是一個不用睡覺的“賽博監(jiān)工”。
干不完,活根本干不完。
誰曾想呢,AI成了Linux開發(fā)者的賽博馬鞭。
這有點嚇人(也挺累的)。
但又能咋辦呢?
既然漏洞都擺在這兒了,總不能裝死等著被黑客偷家吧?
只能硬著頭皮熬夜開修。
最后這位維護(hù)者也只能無奈攤手:短期內(nèi)是沒轍了,勸同行們做好心理準(zhǔn)備,大家一起受著吧。
我們可能將迎來一段持續(xù)數(shù)年的大混亂時代。
一夜之間,AI成了白帽黑客
這并非某個維護(hù)者的獨自悲傷。
“幾個月前,我們收到了一些AI生成的低質(zhì)量安全報告,”Linux內(nèi)核負(fù)責(zé)人Greg Kroah-Hartman回憶道,“我們當(dāng)時壓根沒當(dāng)回事。”
起初,人們都以為這只是AI生成的又一堆垃圾。
誰曾想,一夜之間,AI搖身一變,成了頂尖的白帽黑客。
各種AI報告瘋狂轟炸郵箱,而且正確率極高——
打開一封,誒,這個說的還蠻有道理。
再看下一封,誒,怎么這個說的也是對的??
隨即兩眼一黑,開啟了永無止境的打補丁……
奇點來的過于突然,就連Greg這樣的內(nèi)核大佬都感到一頭霧水:
我們不知道發(fā)生了什么,沒人知道。
Greg表示,各大開源項目的安全團(tuán)隊私下交流非常頻繁,他很明確地表示,“所有開源安全團(tuán)隊目前都在經(jīng)歷這件事。”
至今都沒緩過神來——到底是哪個新的AI工具橫空出世了?
還是人們突然集體接入潛意識,不約而同地一拍腦袋:
“嘿,用AI挖漏洞好像很有意思,咱們一起來試試吧。”
無論原因究竟是什么,一個是事實是確定的——
海嘯真的來了。
Linux開發(fā)者受不了了!
兩年前,大概每周只有2到3份報告,過去一年增長到了每周大約10份……
今年開始,每天都是5-10份。
LWN.net上,一位網(wǎng)名叫wtarreau的Linux內(nèi)核維護(hù)者,曬出了自己的“崩潰時刻”。
報告數(shù)量激增只是個表象。
真正讓他頭皮發(fā)麻的是,每天都能看到以前從未見過的“奇觀”,反復(fù)上演:
兩個不同的人,提交了同一份漏洞報告
要知道,以前想找出安全漏洞,通常需要比較高的技術(shù)門檻,一份報告往往是人工深入分析出來的。
這也意味著,每個人的思路都不一樣,大家會走向不同的方向。
在Linux這么龐大的代碼庫里,重復(fù)發(fā)現(xiàn)同一個漏洞?
這概率簡直比中彩票還低。
唯一的解釋就是:現(xiàn)在有一大堆本來不是搞安全的人,都開始用AI來找漏洞了。
并且樂此不疲。
這讓wtarreau的工作量瞬間爆炸,不得不擴(kuò)張團(tuán)隊,搖人來幫忙。
不過,wtarreau倒沒有說抱怨什么,反而表示這是一種“幸福的煩惱”。
但反過來想想,說不定也是件好事。
好消息是,我懷疑現(xiàn)在bug報告的速度,已經(jīng)比開發(fā)者編寫bug的速度快了。
所以,我們實際上可能正在清理積壓已久的bug。
這讓wtarreau回想2000年之前,那是個令安全維護(hù)者們魂牽夢繞的黃金時代。
那時候,行業(yè)對安全漏洞的容忍度極低,根本沒有現(xiàn)在這么多“屎山代碼”。
互聯(lián)網(wǎng)還沒普及,沒法像現(xiàn)在這樣OTA在線打補丁。
軟件得刻錄進(jìn)CD或者寫進(jìn)成百萬張軟盤里分發(fā),如果這面有啥嚴(yán)重的安全漏洞……完都完了。
所以,那時候的軟件必須經(jīng)得起千錘百煉。
如今,軟件行業(yè)可能會被AI倒逼著,重新?lián)炱疬@種“變態(tài)”的質(zhì)檢標(biāo)準(zhǔn)。
“發(fā)布完就撒手不管”的模式徹底行不通了。
每款軟件現(xiàn)在都是活靶子。
封禁機(jī)制失效了,廠商如果發(fā)現(xiàn)了漏洞,再沒有借口“藏著不說”。
畢竟,即便有人提前通知了廠商,誰敢保證不會有壞人也用AI發(fā)現(xiàn)了同樣的問題,然后拿去攻擊用戶?
所以一旦有bug被報告,維護(hù)者必須立馬修復(fù)。
對此,wtarreau表示很興奮。
雖然聽上去有點嚇人,也確實挺累,但軟件質(zhì)量可能會迎來一次前所未有的大提升。
不過,對于這種“幸福的煩惱”,有網(wǎng)友表示完全無法共情。
他直言這些Linux開發(fā)者純粹是在自我感動,有些缺陷根本無人在意,盲目升級反而會帶來兼容性災(zāi)難。
因此,他建議維護(hù)者們集中注意力,不用AI說什么就改什么,只要把那些最嚴(yán)重的系統(tǒng)級漏洞把好關(guān)就行了。
對于這個觀點,另一位網(wǎng)友則毫不客氣地指出:這完全是無稽之談,純純是在找借口。
每個人都覺得“哦,我的使用場景永遠(yuǎn)不會遇到這些bug”,但總會有倒霉蛋遇到某個特定的bug,然后被逼瘋。
打不過就加入
不過,這里或許還有一個更現(xiàn)實的問題——
“幸福的煩惱”可能過于美好了,誰能保證,這不會是一場史無前例的安全地獄?
維護(hù)者修bug的手速,真的能跑贏犯罪分子用AI挖漏洞的速度嗎?
但其實也沒事兒,打不過,那咱就加入嘛。
目前,AI在Linux內(nèi)核開發(fā)里更多還是輔助,還沒正式寫完整代碼。
但如今,這條界限正在變得越來越模糊。
內(nèi)核大佬Greg自己就已經(jīng)開始拿AI做實驗了。
我當(dāng)時隨手輸了個很傻的提示詞。結(jié)果它反手就甩給我60個補丁,其中三分之二竟然是對的。
雖說這些補丁還得人工清理一下、補個漂亮的提交說明,再整合進(jìn)去,但絕對不能管它們叫“AI垃圾”。
“這些工具是有用的,”Greg坦言,“我們不能裝看不見。它們真的來了,而且越來越強。”
開發(fā)者們的身體也很誠實。“我們已經(jīng)看到一些補丁確實是由AI生成的,”Greg補充道。
而這樣做最大的好處,就是響應(yīng)速度。
Greg提到,現(xiàn)在我們有很多機(jī)器人在盯著補丁檢查。
如果檢查不通過,開發(fā)者能迅速收到答復(fù),并給出反饋:“行,那我明天再提交一個版本。”
這樣一來,打補丁的速度,會被拉齊到和AI挖洞速度同一水平。
對于Linux來說,跟AI的關(guān)系已經(jīng)是他們不得不思考的問題了。
這既是機(jī)遇,也是挑戰(zhàn)。
一方面,AI帶來了新的漏洞來源,加重了人工審查負(fù)擔(dān)。
但另一方面,AI也在幫助緩解這種壓力。
或許,Linux內(nèi)核維護(hù)者們?nèi)缃袼媾R的,正是這場AI革命全景圖的縮影。
AI正在飛速發(fā)展,而這種發(fā)展,也逼得我們不得不去擁抱它。
系好安全帶吧。
參考鏈接:
[1]
https://lwn.net/Articles/1065620/
[2]
https://news.ycombinator.com/item?id=47611921
[3]
https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
