Linux长期维护者Greg Kroah-Hartman在一次交流中提到,AI工具正在开源安全领域发生明显转向:从过去大量“AI slop”式的错误报告,变成开始能够发现真实漏洞的有效信号。
-
- 过去AI生成大量低质量、安全错误报告,被称为“AI slop”
-
- cURL团队曾因噪音过多而停止漏洞赏金机制
-
- 最近一个月开始出现“真实有效”的AI生成漏洞报告
-
- 多个开源安全团队反馈出现同样变化趋势
-
- 变化原因不明,可能是工具能力提升或使用方式变化
-
- Linux社区因团队规模与分布式结构仍可承受增长压力
-
这件事本质上是在说一件更现实的变化:AI正在从“制造噪音的工具”,变成开始参与安全生产流程的一环,但同时也把信息筛选压力一起放大了。
AI从噪音到有效信号
Greg Kroah-Hartman提到,几个月前AI生成的安全报告几乎都属于低质量甚至明显错误的内容,开源社区把这类内容直接归为“AI slop”,甚至不会认真处理。
但变化发生在最近一个月:AI提交的安全报告开始出现真正有价值的漏洞线索,不再只是噪音。这种转变让多个开源项目的安全团队都注意到同一件事——AI生成的内容正在变“能用”。
开源安全的压力结构在变化
以cURL为例,之前因为AI噪音报告过多,团队甚至暂停了漏洞赏金机制。而Linux内核社区则因为规模更大、结构更分布式,还能消化这类增长。
但即便如此,变化的趋势是统一的:AI参与安全审计的频率在上升,报告质量也在分化,整个流程正在从“人工主导”转向“人机混合筛选”。
更关键的是,连参与者都无法明确解释原因:可能是工具能力提升,也可能是更多团队开始尝试用AI做安全扫描与代码审查。结果就是同一时间,多个开源项目同时感受到报告数量与质量结构的变化。这意味着安全团队未来不只是处理漏洞,还要处理“AI产生的判断噪声”。对普通职场人来说,这种变化会逐渐渗透到测试、代码审查甚至数据分析流程里:效率会上升,但筛选和验证成本也会同步增加。谁能更快适应“AI产出+人工判断”的组合模式,谁就更容易在后续的工作流里占到位置。
留言聊聊
你现在工作里,有没有已经开始接触AI生成的代码或报告?