江蘇
關鍵詞
漏洞
Linux 內核維護者崩潰了。
現在AI 找 Bug 的速度,比他們修 Bug 還快。
好不容易加班加點掃完雷,睡一覺醒來——
郵箱又被一堆新的漏洞報告塞爆了。
從今年開始,每天雷打不動收到 5 到 10 份報告,周二周五尤其多。
最搞心態的是,這些 AI 生成的報告,竟然大部分都還是對的,想摸魚都沒借口,何況這提交者還是一個不用睡覺的 " 賽博監工 "。
干不完,活根本干不完。
誰曾想呢,AI 成了 Linux 開發者的賽博馬鞭。
這有點嚇人(也挺累的)。
但又能咋辦呢?
既然漏洞都擺在這兒了,總不能裝死等著被黑客偷家吧?
只能硬著頭皮熬夜開修。
最后這位維護者也只能無奈攤手:短期內是沒轍了,勸同行們做好心理準備,大家一起受著吧。
我們可能將迎來一段持續數年的大混亂時代。
一夜之間,AI 成了白帽黑客
這并非某個維護者的獨自悲傷。
" 幾個月前,我們收到了一些 AI 生成的低質量安全報告,"Linux 內核負責人 Greg Kroah-Hartman 回憶道," 我們當時壓根沒當回事。"
起初,人們都以為這只是 AI 生成的又一堆垃圾。
誰曾想,一夜之間,AI 搖身一變,成了頂尖的白帽黑客。
各種 AI 報告瘋狂轟炸郵箱,而且正確率極高——
打開一封,誒,這個說的還蠻有道理。
再看下一封,誒,怎么這個說的也是對的??
隨即兩眼一黑,開啟了永無止境的打補丁……
奇點來的過于突然,就連 Greg 這樣的內核大佬都感到一頭霧水:
我們不知道發生了什么,沒人知道。
Greg 表示,各大開源項目的安全團隊私下交流非常頻繁,他很明確地表示," 所有開源安全團隊目前都在經歷這件事。"
至今都沒緩過神來——到底是哪個新的 AI 工具橫空出世了?
還是人們突然集體接入潛意識,不約而同地一拍腦袋:
" 嘿,用 AI 挖漏洞好像很有意思,咱們一起來試試吧。"
無論原因究竟是什么,一個是事實是確定的——
海嘯真的來了。
Linux 開發者受不了了!
兩年前,大概每周只有 2 到 3 份報告,過去一年增長到了每周大約 10 份……
今年開始,每天都是 5-10 份。
LWN.net 上,一位網名叫 wtarreau 的 Linux 內核維護者,曬出了自己的 " 崩潰時刻 "。
報告數量激增只是個表象。
真正讓他頭皮發麻的是,每天都能看到以前從未見過的 " 奇觀 ",反復上演:
兩個不同的人,提交了同一份漏洞報告
要知道,以前想找出安全漏洞,通常需要比較高的技術門檻,一份報告往往是人工深入分析出來的。
這也意味著,每個人的思路都不一樣,大家會走向不同的方向。
在 Linux 這么龐大的代碼庫里,重復發現同一個漏洞?
這概率簡直比中彩票還低。
唯一的解釋就是:現在有一大堆本來不是搞安全的人,都開始用 AI 來找漏洞了。
并且樂此不疲。
這讓 wtarreau 的工作量瞬間爆炸,不得不擴張團隊,搖人來幫忙。
不過,wtarreau 倒沒有說抱怨什么,反而表示這是一種 " 幸福的煩惱 "。
但反過來想想,說不定也是件好事。
好消息是,我懷疑現在 bug 報告的速度,已經比開發者編寫 bug 的速度快了。
所以,我們實際上可能正在清理積壓已久的 bug。
這讓 wtarreau 回想 2000 年之前,那是個令安全維護者們魂牽夢繞的黃金時代。
那時候,行業對安全漏洞的容忍度極低,根本沒有現在這么多 " 屎山代碼 "。
互聯網還沒普及,沒法像現在這樣 OTA 在線打補丁。
軟件得刻錄進 CD 或者寫進成百萬張軟盤里分發,如果這面有啥嚴重的安全漏洞……完都完了。
所以,那時候的軟件必須經得起千錘百煉。
如今,軟件行業可能會被 AI 倒逼著,重新撿起這種 " 變態 " 的質檢標準。
" 發布完就撒手不管 " 的模式徹底行不通了。
每款軟件現在都是活靶子。
封禁機制失效了,廠商如果發現了漏洞,再沒有借口 " 藏著不說 "。
畢竟,即便有人提前通知了廠商,誰敢保證不會有壞人也用 AI 發現了同樣的問題,然后拿去攻擊用戶?
所以一旦有 bug 被報告,維護者必須立馬修復。
對此,wtarreau 表示很興奮。
雖然聽上去有點嚇人,也確實挺累,但軟件質量可能會迎來一次前所未有的大提升。
不過,對于這種 " 幸福的煩惱 ",有網友表示完全無法共情。
他直言這些 Linux 開發者純粹是在自我感動,有些缺陷根本無人在意,盲目升級反而會帶來兼容性災難。
因此,他建議維護者們集中注意力,不用 AI 說什么就改什么,只要把那些最嚴重的系統級漏洞把好關就行了。
對于這個觀點,另一位網友則毫不客氣地指出:這完全是無稽之談,純純是在找借口。
每個人都覺得 " 哦,我的使用場景永遠不會遇到這些 bug",但總會有倒霉蛋遇到某個特定的 bug,然后被逼瘋。
打不過就加入
不過,這里或許還有一個更現實的問題——
" 幸福的煩惱 " 可能過于美好了,誰能保證,這不會是一場史無前例的安全地獄?
維護者修 bug 的手速,真的能跑贏犯罪分子用 AI 挖漏洞的速度嗎?
但其實也沒事兒,打不過,那咱就加入嘛。
目前,AI 在 Linux 內核開發里更多還是輔助,還沒正式寫完整代碼。
但如今,這條界限正在變得越來越模糊。
內核大佬 Greg 自己就已經開始拿 AI 做實驗了。
我當時隨手輸了個很傻的提示詞。結果它反手就甩給我 60 個補丁,其中三分之二竟然是對的。
雖說這些補丁還得人工清理一下、補個漂亮的提交說明,再整合進去,但絕對不能管它們叫 "AI 垃圾 "。
" 這些工具是有用的,"Greg 坦言," 我們不能裝看不見。它們真的來了,而且越來越強。"
開發者們的身體也很誠實。" 我們已經看到一些補丁確實是由 AI 生成的,"Greg 補充道。
而這樣做最大的好處,就是響應速度。
Greg 提到,現在我們有很多機器人在盯著補丁檢查。
如果檢查不通過,開發者能迅速收到答復,并給出反饋:" 行,那我明天再提交一個版本。"
這樣一來,打補丁的速度,會被拉齊到和 AI 挖洞速度同一水平。
對于 Linux 來說,跟 AI 的關系已經是他們不得不思考的問題了。
這既是機遇,也是挑戰。
一方面,AI 帶來了新的漏洞來源,加重了人工審查負擔。
但另一方面,AI 也在幫助緩解這種壓力。
或許,Linux 內核維護者們如今所面臨的,正是這場 AI 革命全景圖的縮影。
AI 正在飛速發展,而這種發展,也逼得我們不得不去擁抱它。
系好安全帶吧。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
