几个月前大家还在嘲笑 AI 写的安全报告是“垃圾”,现在连 Linux 内核团队收到的报告,都已经全是 AI 写的了,而且质量好到分不出真假。
- 几个月前,开源项目收到的 AI 生成安全报告质量极差,大家还觉得挺好笑。
- 就在一个月前,情况突然反转,现在 AI 生成的安全报告质量已经变得很高、很真实。
- Linux 内核维护者 Greg Kroah-Hartman 亲口证实,现在所有开源项目收到的都是这种高质量 AI 报告。
从笑话到现实,就一个月
Greg 的原话是这么说的:“几个月前,我们收到所谓的‘AI垃圾’,那些AI生成的安全报告明显是错的或者质量很低。当时觉得挺搞笑的。我们也没怎么担心。”
“几个月前,我们收到所谓的‘AI垃圾’,那些AI生成的安全报告明显是错的或者质量很低。当时觉得挺搞笑的。我们也没怎么担心。”
但接下来这句,才是关键转折点。Greg 说:“一个月前,世界变了。” 这个时间点非常具体,就是一个月。他说现在收到的是“真实的报告”,所有开源项目收到的都是AI做的报告,但它们是好的,是真实的。
“一个月前,世界变了。现在我们有真实的报告。所有开源项目都有真实的报告,是AI做的,但它们很好,很真实。”
这话从 Greg Kroah-Hartman 嘴里说出来,分量完全不一样。他是 Linux 内核的稳定分支维护者,每天经手的安全报告和代码补丁数不胜数。他能明显感觉到“垃圾”和“真实”报告之间的界限在一个月内被抹平了。
以后看报告,得先猜猜作者是谁
这事细想一下,其实挺微妙的。以前AI写的报告,错漏百出,一眼就能识别出来,甚至成了社区里的一个梗。但现在,AI报告的质量已经高到让维护者无法轻易分辨了。这意味着什么?意味着以后你收到一个安全漏洞的详细分析和修复建议,你可能根本不知道背后是个人还是AI。信任的锚点变了。
对于像 Linux 内核这样影响全球基础设施的项目来说,安全报告的来源和质量是性命攸关的事。以前可以基于对报告者(个人或团队)的长期信任来做判断,现在这个维度正在失效。AI成了看不见的“优秀贡献者”,但它的“思考”过程和潜在盲区,人类可能完全无法理解。
对你来说,这意味着什么
讲真,这变化太快了。如果你也参与开源项目,或者在工作中需要依赖第三方(尤其是开源)的安全公告,以后就得多个心眼了。报告写得再专业、再详实,你都得下意识地问一句:这背后是人,还是AI?AI生成的“正确”报告,会不会隐藏着某种人类难以察觉的系统性偏见或错误模式? 当所有人都开始依赖AI工具来审计安全时,会不会集体踩进同一个坑里?
说白了,工具的进化远超我们的适应速度。一个月,就从笑话变成日常。下一次颠覆性变化,可能连一个月都不需要。
留言聊聊
你现在看技术文档或报告,会先怀疑是不是AI生成的吗?你更信任人类专家还是经过验证的AI产出?
来源:Simon Willison Blog|原文:Quoting Greg Kroah-Hartman
