AI每天向Linux内核轰炸10份漏洞报告开源社区的“幸福烦恼”,还是史无前例的安全地狱?

AI每天向Linux内核

轰炸10份漏洞报告

开源社区的“幸福烦恼”，还是史无前例的安全地狱？

【一】事件背景

在 2026年3月底的 KubeCon Europe 大会上，Linux 内核核心维护者 Greg Kroah-Hartman 公开分享了一个令整个开源界不安的现象。他说：

“大约一个月前，像是有什么东西变了。”

从那以后，Linux 内核安全团队收到的漏洞报告量发生了量级跃升。这不是一次普通的技术波动，而是 AI 能力突然飞跃引发的一场开源安全生态地震。

【二】数据变化：从涓涓细流到洪水

我们先来看一组触目惊心的数据：

尤其值得注意的是周二和周五报告量最为集中。更令人震惊的是，维护者开始频繁看到两个不同的人提交了同一份漏洞报告——这在过去几乎不可能发生，唯一的解释就是：大量非安全专业人员开始用 AI 工具挖掘漏洞。

【三】关键转折：从“AI垃圾”到“AI黄金”

2026年2月之前，AI 生成的安全报告在开源圈被称为“AI Slop”（AI垃圾）——报告内容明显错误、质量极低，维护者们根本不当回事。

但一夜之间，情况彻底翻转。AI 生成的报告突然变成了高质量、真实有效的安全漏洞发现。Greg Kroah-Hartman 原话：

“几个月前，我们收到的都是所谓的‘AI垃圾’……一个月前发生了什么事情，世界发生了转变。现在我们收到的是真实的报告。”

更关键的是，这不是 Linux 独有的现象。Greg 明确表示：

“所有开源安全团队现在都遇到了这种情况。”

至今没有人确切知道原因——可能是某个 AI 工具突然实现了质的飞跃，也可能是大量群体同时开始使用 AI 进行漏洞挖掘。

【四】维护者的“崩溃”日常

Linux 内核维护者 wtarreau 在 LWN.net 上描述了自己的体验：

●每天打开邮箱就被新的漏洞报告塞满

●AI 找 Bug 的速度已经超越了人类修 Bug 的速度

●加班加点扫完雷，睡一觉醒来又是一堆新报告

●不得不扩张团队来应对激增的工作量

●想忽略都不行——因为报告大部分都是对的

Greg 自己也做了实验：他随手输入了一个很简单的提示词，AI 反手就生成了 60 个补丁，其中三分之二是正确的。虽然仍需人工清理和整合，但已经远非“垃圾”。

“这些工具是有用的，我们不能装看不见。它们真的来了，而且越来越强。”—— Greg Kroah-Hartman

【五】应对措施：打不过就加入

面对这场“海啬”，Linux 社区并非坐以待毙，而是积极拥抱 AI：

1.Sashiko 工具：最初由 Google 开发的 AI 代码审查工具，已捐赠给 Linux 基金会。它在几乎所有内核补丁上运行，为所有开源项目提供平等的 AI 审查能力。

2.子系统级 AI 审查：网络和 BPF 子系统早已开始使用大语言模型进行代码审查；DRM 团队也在跟进；systemd 项目也在为其全 C 代码库使用同类工具。

3.加速反馈循环：AI 审查机器人能在人类维护者阅读补丁之前就标记出明显问题，让开发者更快收到反馈并提交修正版本。

4.OpenSSF Alpha-Omega 计划：与开源安全基金会合作，创建工具帮助维护者更高效地处理涌入的 AI 生成报告。

【六】深层影响与行业争论

乐观派：“幸福的烦恼”

以 wtarreau 为代表的乐观派认为，AI 发现漏洞的速度可能已经超过了开发者编写 Bug 的速度，正在清理积压已久的历史 Bug。这可能倒逼软件行业重新回到 2000 年之前那种“变态”的质检标准。

“发布完就撒手不管”的模式彻底行不通了。每款软件现在都是活靶子。

悲观派：安全地狱的担忧

维护者修 Bug 的手速，真的能跑赢犯罪分子用 AI 挖漏洞的速度吗？中小型开源项目缺乏资源应对，可能被淡没。盲目修复所有 AI 报告的漏洞可能引入兼容性问题。

【七】AI与开源的未来：共生还是对抗？

Greg Kroah-Hartman 认为关键在于保持 AI 作为力量倍增器，而不让开源维护者被淡没。目前 AI 在 Linux 内核开发中主要还是辅助角色，但这条界限正在越来越模糊。

对于 Linux 来说，跟 AI 的关系已经从理论发展到实践。这既是机遇，也是挑战。一方面，AI 带来了新的漏洞来源，加重了人工审查负担；但另一方面，AI 也在帮助缓解这种压力。

或许，Linux 内核维护者们如今所面临的，正是这场 AI 革命全景图的缩影。AI 正在飞速发展，而这种发展，也逼得我们不得不去拥抱它。

关注「数智AI进化指南」，获取更多 AI 前沿资讯