上一条我们刚聊了 Linux 内核给 AI 立规矩——不许署名、必须标注模型版本。今天又来了一条劲爆新闻:Linux 基金会官方启动了 Project Glasswing,直接把 Anthropic 的 AI 模型接进来,给开源维护者做安全代码审查。一边禁止 AI 签名,一边把 AI 请进来查代码——同一个社区,同一个星期,两个方向完全相反的动作。
被接入的模型叫 Mythos Preview,是 Anthropic 4 月 7 日发布的实验模型。这个模型 Anthropic 自己都不敢公开发布——原因是它的网络攻击能力太强,公司评估后决定不开放 API、不上线公众版,只提供给防守方使用。Linux 基金会就是拿到这个模型的"防守方"之一。
在此之前,Anthropic 今年 2 月发过一份报告,说他们的 Claude Opus 4.6 已经能在 Linux 内核等关键开源项目里发现真实漏洞,而且需要的人工辅助比以前少得多。Mythos Preview 是在这个基础上又往前走了一步。从 Google Project Zero 在 2024 年尝试用 LLM 找漏洞开始算,短短两年,AI 在安全审查上的能力已经从"需要大量手把手辅导"变成了"给个代码库就能自己挖"。
LWN.net——Linux 内核社区里最有分量的媒体——4 月 9 日专门为这件事发了长文,标题叫「A flood of useful security reports」,翻译过来就是"一大波有用的安全报告涌进来了"。文章里用了一个说法:LLM 在安全领域的能力"在过去几个月里有了显著进步"。这篇文章在 LWN 上拿到了 36 条评论,在这个以克制著称的社区里,已经算热帖了。
让我们把这两篇文章放在一起看,就能搞清楚Linux为什么这么做了。coding-assistants.rst 解决的是"AI 写了代码,谁负责"——答案是人类负责,AI 只是工具。Project Glasswing 解决的是"AI 能不能帮忙查代码"——答案是能,而且官方接入。两条线看起来方向相反,但逻辑是一致的:AI 可以干活,但不能担责;可以参与流程,但不能代替人做法律层面的判断。
当然也有人担心。LWN 评论区里就有维护者提出,AI 找到的漏洞如果数量太大,反而会给本来就人手不够的开源维护者增加审查负担——"一大波有用的安全报告"也可能变成"一大波处理不完的安全报告"。模型只负责发现问题,修不修、怎么修,还是要靠人。
同一个星期,Linux 社区左手给 AI 立了规矩,右手又把 AI 请了进来。不拒绝、不崇拜,用起来,但把责任留给人类。到目前为止,这大概是对待 AI 最务实的一种态度了。
参考来源:Linux Foundation Project Glasswing 官方公告;Anthropic Mythos Preview 发布说明;LWN.net「A flood of useful security reports」(2026-04-09)
10个月宝宝每天需要喝多少奶粉?
