5到10份報告天天砸臉，Linux大佬被AI逼到擴招

現(xiàn)在AI找Bug的速度，比他們修Bug還快。

從今年開始，Linux內(nèi)核維護者每天雷打不動收到5到10份安全報告，周二周五尤其多。

最搞心態(tài)的是，這些AI生成的報告，竟然大部分都還是對的。想摸魚都沒借口——何況提交者還是一個不用睡覺的"賽博監(jiān)工"。

誰曾想呢，AI成了Linux開發(fā)者的賽博馬鞭。

既然漏洞都擺在這兒了，總不能裝死等著被黑客偷家吧？最后這位維護者也只能無奈攤手：短期內(nèi)是沒轍了，勸同行們做好心理準備，大家一起受著吧。

"幾個月前，我們收到了一些AI生成的低質(zhì)量安全報告，"Linux內(nèi)核負責(zé)人Greg Kroah-Hartman回憶道，"我們當(dāng)時壓根沒當(dāng)回事。"

起初，人們都以為這只是AI生成的又一堆垃圾。誰曾想，一夜之間，AI搖身一變，成了頂尖的白帽黑客。

各種AI報告瘋狂轟炸郵箱，而且正確率極高——奇點來的過于突然，就連Greg這樣的內(nèi)核大佬都感到一頭霧水。

Greg表示，各大開源項目的安全團隊私下交流非常頻繁，他很明確地說，"所有開源安全團隊目前都在經(jīng)歷這件事。"

至今都沒緩過神來——到底是哪個新的AI工具橫空出世了？還是人們突然集體接入潛意識，不約而同地一拍腦袋："嘿，用AI挖漏洞好像很有意思，咱們一起來試試吧。"

無論原因究竟是什么，一個事實是確定的——兩年前，大概每周只有2到3份報告；過去一年增長到了每周大約10份；今年開始，每天都是5到10份。

LWN.net上，一位網(wǎng)名叫wtarreau的Linux內(nèi)核維護者，曬出了自己的"崩潰時刻"。

真正讓他頭皮發(fā)麻的是，每天都能看到以前從未見過的"奇觀"，反復(fù)上演。

要知道，以前想找出安全漏洞，通常需要比較高的技術(shù)門檻，一份報告往往是人工深入分析出來的。這也意味著，每個人的思路都不一樣，大家會走向不同的方向。

在Linux這么龐大的代碼庫里，重復(fù)發(fā)現(xiàn)同一個漏洞？唯一的解釋就是：現(xiàn)在有一大堆本來不是搞安全的人，都開始用AI來找漏洞了。

這讓wtarreau的工作量瞬間爆炸，不得不擴張團隊，搖人來幫忙。

不過，wtarreau倒沒有抱怨什么，反而表示這是一種"幸福的煩惱"。

"好消息是，我懷疑現(xiàn)在bug報告的速度，已經(jīng)比開發(fā)者編寫bug的速度快了。所以，我們實際上可能正在清理積壓已久的bug。"

這讓wtarreau回想起2000年之前，那是個令安全維護者們魂牽夢繞的黃金時代。那時候，行業(yè)對安全漏洞的容忍度極低，根本沒有現(xiàn)在這么多"屎山代碼"。互聯(lián)網(wǎng)還沒普及，沒法像現(xiàn)在這樣OTA在線打補丁。軟件得刻錄進CD或者寫進成百萬張軟盤里分發(fā)，如果這面有啥嚴重的安全漏洞……完都完了。

如今，軟件行業(yè)可能會被AI倒逼著，重新?lián)炱疬@種"變態(tài)"的質(zhì)檢標(biāo)準。

封禁機制失效了，廠商如果發(fā)現(xiàn)了漏洞，再沒有借口"藏著不說"。畢竟，即便有人提前通知了廠商，誰敢保證不會有壞人也用AI發(fā)現(xiàn)了同樣的問題，然后拿去攻擊用戶？所以一旦有bug被報告，維護者必須立馬修復(fù)。

雖然聽上去有點嚇人，也確實挺累，但軟件質(zhì)量可能會迎來一次前所未有的大提升。

不過，對于這種"幸福的煩惱"，有網(wǎng)友表示完全無法共情。他直言這些Linux開發(fā)者純粹是在自我感動，有些缺陷根本無人在意，盲目升級反而會帶來兼容性災(zāi)難。因此，他建議維護者們集中注意力，不用AI說什么就改什么，只要把那些最嚴重的系統(tǒng)級漏洞把好關(guān)就行了。

對于這個觀點，另一位網(wǎng)友則毫不客氣地指出：這完全是無稽之談，純純是在找借口。每個人都覺得"哦，我的使用場景永遠不會遇到這些bug"，但總會有倒霉蛋遇到某個特定的bug，然后被逼瘋。

打不過就加入。不過，這里或許還有一個更現(xiàn)實的問題——"幸福的煩惱"可能過于美好了，誰能保證，這不會是一場史無前例的安全地獄？

維護者修bug的手速，真的能跑贏犯罪分子用AI挖漏洞的速度嗎？

目前，AI在Linux內(nèi)核開發(fā)里更多還是輔助，還沒正式寫完整代碼。內(nèi)核大佬Greg自己就已經(jīng)開始拿AI做實驗了。

"我當(dāng)時隨手輸了個很傻的提示詞。結(jié)果它反手就甩給我60個補丁，其中三分之二竟然是對的。"

雖說這些補丁還得人工清理一下、補個漂亮的提交說明，再整合進去，但絕對不能管它們叫"AI垃圾"。

"這些工具是有用的，"Greg坦言，"我們不能裝看不見。它們真的來了，而且越來越強。"

開發(fā)者們的身體也很誠實。"我們已經(jīng)看到一些補丁確實是由AI生成的，"Greg補充道。

Greg提到，現(xiàn)在我們有很多機器人在盯著補丁檢查。如果檢查不通過，開發(fā)者能迅速收到答復(fù)，并給出反饋："行，那我明天再提交一個版本。"這樣一來，打補丁的速度，會被拉齊到和AI挖洞速度同一水平。

對于Linux來說，跟AI的關(guān)系已經(jīng)是他們不得不思考的問題了。一方面，AI帶來了新的漏洞來源，加重了人工審查負擔(dān)。

或許，Linux內(nèi)核維護者們?nèi)缃袼媾R的，正是這場AI革命全景圖的縮影。AI正在飛速發(fā)展，而這種發(fā)展，也逼得我們不得不去擁抱它。

Greg在實驗AI時隨手輸入的那個"很傻的提示詞"，最終產(chǎn)出了60個補丁——其中三分之二是對的。剩下的三分之一，大概正在某個維護者的郵箱里排隊，等著被人類認領(lǐng)。