AI狂塞漏洞，Linux维护者“崩溃”

AI的出现，让“摸鱼”成为奢望。

AI生成漏洞报告的质量和数量“一夜之间”飞速提升，Linux内核维护者面临前所未有的工作量和挑战。他们感叹AI找Bug的速度已超越人工修复，预示着“大混乱时代”的到来。

AI提交Bug报告Linux大佬惊了

AI在开源项目中的应用变革

Linux内核核心维护者Greg Kroah-Hartman表示，大约一个月前，AI报告的Bug质量突然变高，从之前的“AI垃圾”转变为真正有价值的报告。这些报告结构清晰，分析路径合理，接近人类开发者水平。

Greg指出，这种AI报告质量的提升并非Linux独有，而是同步发生在所有开源项目中。各大主流开源项目的安全团队都观察到了同样的转变，但没有人知道具体原因。

Linux内核维护者wtarreau表示，从今年开始，每天会收到5到10份AI生成的漏洞报告，且大部分是正确的。这导致维护者的工作量瞬间爆炸，不得不扩张团队来应对。

Greg表示，AI已经可以为一些简单问题生成几十个可用补丁。他曾用简单提示让AI分析代码并给出修复方案，AI生成了60个问题及对应补丁，其中三分之二可以直接工作。

这些AI生成的补丁虽然不能直接合入，需要人工整理和补充说明，但它们已是“可用的半成品”，不再是“没用的AI垃圾”。这表明AI工具正在快速发展并变得更强。

为应对AI生成内容激增导致的人工维护者工作量增加，Linux社区开始引入AI工具Sashiko进行补丁预审。Sashiko由Google开发并捐赠给Linux基金会，旨在人工审查前进行一轮AI预审。

AI审查是人工审查的补充，能指出很多显而易见的问题，但不能覆盖所有情况。AI审查的真正价值在于速度，它能在几分钟内给出初步反馈，将代码审查从“排队等待”变为“即时反馈”。

AI审查的快速反馈能让开发者更快修正问题、提交新版本，提前过滤明显有问题的补丁，并让维护者集中精力处理更复杂的决策。这使得打补丁的速度能与AI挖洞速度保持同步。

AI降低了参与门槛并提高了内容合理性，导致输入量激增，使人类维护者面临更大的工作量。对于中小型开源项目来说，这种增长可能是压垮性的。

OpenSSF、Alpha-Omega等安全项目正在提供更多工具，帮助维护者应对AI输入洪流。开源维护者的真正挑战是如何在不被淹没的前提下，将AI转化为生产力。

Linux内核维护者wtarreau认为，AI报告Bug的速度可能已超过开发者编写Bug的速度，有助于清理积压已久的Bug。这可能倒逼软件行业重新捡起“变态”的质检标准，大幅提升软件质量。

有网友认为Linux开发者在自我感动，盲目升级可能带来兼容性灾难，建议只关注最严重的系统级漏洞。但另有网友反驳称，每个人都可能遇到特定Bug，盲目忽视缺陷是找借口。