北京
Jay 發自 凹非寺
量子位 | 公眾號 QbitAI
Linux內核維護者崩潰了。
現在AI找Bug的速度,比他們修Bug還快。
好不容易加班加點掃完雷,睡一覺醒來——
郵箱又被一堆新的漏洞報告塞爆了。
從今年開始,每天雷打不動收到5到10份報告,周二周五尤其多。
最搞心態的是,這些AI生成的報告,竟然大部分都還是對的,想摸魚都沒借口,何況這提交者還是一個不用睡覺的“賽博監工”。
干不完,活根本干不完。
誰曾想呢,AI成了Linux開發者的賽博馬鞭。
這有點嚇人(也挺累的)。
但又能咋辦呢?
既然漏洞都擺在這兒了,總不能裝死等著被黑客偷家吧?
只能硬著頭皮熬夜開修。
最后這位維護者也只能無奈攤手:短期內是沒轍了,勸同行們做好心理準備,大家一起受著吧。
我們可能將迎來一段持續數年的大混亂時代。
一夜之間,AI成了白帽黑客
這并非某個維護者的獨自悲傷。
“幾個月前,我們收到了一些AI生成的低質量安全報告,”Linux內核負責人Greg Kroah-Hartman回憶道,“我們當時壓根沒當回事。”
起初,人們都以為這只是AI生成的又一堆垃圾。
誰曾想,一夜之間,AI搖身一變,成了頂尖的白帽黑客。
各種AI報告瘋狂轟炸郵箱,而且正確率極高——
打開一封,誒,這個說的還蠻有道理。
再看下一封,誒,怎么這個說的也是對的??
隨即兩眼一黑,開啟了永無止境的打補丁……
奇點來的過于突然,就連Greg這樣的內核大佬都感到一頭霧水:
我們不知道發生了什么,沒人知道。
Greg表示,各大開源項目的安全團隊私下交流非常頻繁,他很明確地表示,“所有開源安全團隊目前都在經歷這件事。”
至今都沒緩過神來——到底是哪個新的AI工具橫空出世了?
還是人們突然集體接入潛意識,不約而同地一拍腦袋:
“嘿,用AI挖漏洞好像很有意思,咱們一起來試試吧。”
無論原因究竟是什么,一個是事實是確定的——
海嘯真的來了。
Linux開發者受不了了!
兩年前,大概每周只有2到3份報告,過去一年增長到了每周大約10份……
今年開始,每天都是5-10份。
LWN.net上,一位網名叫wtarreau的Linux內核維護者,曬出了自己的“崩潰時刻”。
報告數量激增只是個表象。
真正讓他頭皮發麻的是,每天都能看到以前從未見過的“奇觀”,反復上演:
兩個不同的人,提交了同一份漏洞報告
要知道,以前想找出安全漏洞,通常需要比較高的技術門檻,一份報告往往是人工深入分析出來的。
這也意味著,每個人的思路都不一樣,大家會走向不同的方向。
在Linux這么龐大的代碼庫里,重復發現同一個漏洞?
這概率簡直比中彩票還低。
唯一的解釋就是:現在有一大堆本來不是搞安全的人,都開始用AI來找漏洞了。
并且樂此不疲。
這讓wtarreau的工作量瞬間爆炸,不得不擴張團隊,搖人來幫忙。
不過,wtarreau倒沒有說抱怨什么,反而表示這是一種“幸福的煩惱”。
但反過來想想,說不定也是件好事。
好消息是,我懷疑現在bug報告的速度,已經比開發者編寫bug的速度快了。
所以,我們實際上可能正在清理積壓已久的bug。
這讓wtarreau回想2000年之前,那是個令安全維護者們魂牽夢繞的黃金時代。
那時候,行業對安全漏洞的容忍度極低,根本沒有現在這么多“屎山代碼”。
互聯網還沒普及,沒法像現在這樣OTA在線打補丁。
軟件得刻錄進CD或者寫進成百萬張軟盤里分發,如果這面有啥嚴重的安全漏洞……完都完了。
所以,那時候的軟件必須經得起千錘百煉。
如今,軟件行業可能會被AI倒逼著,重新撿起這種“變態”的質檢標準。
“發布完就撒手不管”的模式徹底行不通了。
每款軟件現在都是活靶子。
封禁機制失效了,廠商如果發現了漏洞,再沒有借口“藏著不說”。
畢竟,即便有人提前通知了廠商,誰敢保證不會有壞人也用AI發現了同樣的問題,然后拿去攻擊用戶?
所以一旦有bug被報告,維護者必須立馬修復。
對此,wtarreau表示很興奮。
雖然聽上去有點嚇人,也確實挺累,但軟件質量可能會迎來一次前所未有的大提升。
不過,對于這種“幸福的煩惱”,有網友表示完全無法共情。
他直言這些Linux開發者純粹是在自我感動,有些缺陷根本無人在意,盲目升級反而會帶來兼容性災難。
因此,他建議維護者們集中注意力,不用AI說什么就改什么,只要把那些最嚴重的系統級漏洞把好關就行了。
對于這個觀點,另一位網友則毫不客氣地指出:這完全是無稽之談,純純是在找借口。
每個人都覺得“哦,我的使用場景永遠不會遇到這些bug”,但總會有倒霉蛋遇到某個特定的bug,然后被逼瘋。
打不過就加入
不過,這里或許還有一個更現實的問題——
“幸福的煩惱”可能過于美好了,誰能保證,這不會是一場史無前例的安全地獄?
維護者修bug的手速,真的能跑贏犯罪分子用AI挖漏洞的速度嗎?
但其實也沒事兒,打不過,那咱就加入嘛。
目前,AI在Linux內核開發里更多還是輔助,還沒正式寫完整代碼。
但如今,這條界限正在變得越來越模糊。
內核大佬Greg自己就已經開始拿AI做實驗了。
我當時隨手輸了個很傻的提示詞。結果它反手就甩給我60個補丁,其中三分之二竟然是對的。
雖說這些補丁還得人工清理一下、補個漂亮的提交說明,再整合進去,但絕對不能管它們叫“AI垃圾”。
“這些工具是有用的,”Greg坦言,“我們不能裝看不見。它們真的來了,而且越來越強。”
開發者們的身體也很誠實。“我們已經看到一些補丁確實是由AI生成的,”Greg補充道。
而這樣做最大的好處,就是響應速度。
Greg提到,現在我們有很多機器人在盯著補丁檢查。
如果檢查不通過,開發者能迅速收到答復,并給出反饋:“行,那我明天再提交一個版本。”
這樣一來,打補丁的速度,會被拉齊到和AI挖洞速度同一水平。
對于Linux來說,跟AI的關系已經是他們不得不思考的問題了。
這既是機遇,也是挑戰。
一方面,AI帶來了新的漏洞來源,加重了人工審查負擔。
但另一方面,AI也在幫助緩解這種壓力。
或許,Linux內核維護者們如今所面臨的,正是這場AI革命全景圖的縮影。
AI正在飛速發展,而這種發展,也逼得我們不得不去擁抱它。
系好安全帶吧。
參考鏈接:
[1]
https://lwn.net/Articles/1065620/
[2]
https://news.ycombinator.com/item?id=47611921
[3]
https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
