Linux内核维护者崩溃了！AI每天狂塞10份漏洞报告，想摸会鱼都难

如意

【标题】：
Linux内核维护者崩溃了！AI每天狂塞10份漏洞报告，想摸会鱼都难

【内容】：
Linux内核维护者崩溃了！AI每天狂塞10份漏洞报告，想摸会鱼都难

  开源开发者的赛博马鞭Linux内核维护者崩溃了。

  AI找Bug的速度，比他们修Bug还快。

  好不容易加班加点扫完雷，睡一觉醒来——邮箱又被一堆新的漏洞报告塞爆了。

  从今年开始，每天雷打不动收到5到10份报告，周二周五尤其多。

  最搞心态的是，这些AI生成的报告，竟然大部分都还是对的，想摸鱼都没借口，何况这提交者还是一个不用睡觉的“赛博监工”。

  干不完，活根本干不完。

  谁曾想呢，AI成了Linux开发者的赛博马鞭这有点吓人（也挺累的）。

  但又能咋办呢？

  既然漏洞都摆在这儿了，总不能装死等着被黑客偷家吧？

  只能硬着头皮熬夜开修。

  最后这位维护者也只能无奈摊手：

  短期内是没辙了，劝同行们做好心理准备，大家一起受着吧。

  我们可能将迎来一段持续数年的大混乱时代。

  一夜之间，AI成了白帽黑客这并非某个维护者的独自悲伤。

  “几个月前，我们收到了一些AI生成的低质量安全报告，”Linux内核负责人Greg Kroah-Hartman回忆道，

  “我们当时压根没当回事。”起初，人们都以为这只是AI生成的又一堆垃圾。

  谁曾想，一夜之间，AI摇身一变，成了

  顶尖的白帽黑客各种AI报告疯狂轰炸邮箱，而且正确率极高——打开一封，诶，这个说的还蛮有道理。

  再看下一封，诶，怎么这个说的也是对的？？

  随即两眼一黑，开启了永无止境的打补丁……

  奇点来的过于突然，就连Greg这样的内核大佬都感到一头雾水：

  我们不知道发生了什么，没人知道。

  Greg表示，各大开源项目的安全团队私下交流非常频繁，他很明确地表示，“所有开源安全团队目前都在经历这件事。”至今都没缓过神来——到底是哪个新的AI工具横空出世了？

  还是人们突然集体接入潜意识，不约而同地一拍脑袋：

  “嘿，用AI挖漏洞好像很有意思，咱们一起来试试吧。”无论原因究竟是什么，一个是事实是确定的——海啸真的来了。

  Linux开发者受不了了！

  两年前，大概每周只有2到3份报告，过去一年增长到了每周大约10份……

  今年开始，每天都是5-10份。

  LWN.net上，一位网名叫

  wtarreau的Linux内核维护者，晒出了自己的“崩溃时刻”。

  报告数量激增只是个表象。

  真正让他头皮发麻的是，每天都能看到以前从未见过的“奇观”，反复上演：

  两个不同的人，提交了同一份漏洞报告要知道，以前想找出安全漏洞，通常需要比较高的技术门槛，一份报告往往是人工深入分析出来的。

  这也意味着，每个人的思路都不一样，大家会走向不同的方向。

  在Linux这么庞大的代码库里，重复发现同一个漏洞？

  这概率简直比中彩票还低。

  唯一的解释就是：现在有一大堆本来不是搞安全的人，都开始用AI来找漏洞了。

  并且乐此不疲。

  这让wtarreau的工作量瞬间爆炸，不得不扩张团队，摇人来帮忙。

  不过，wtarreau倒没有说抱怨什么，反而表示这是一种

  “幸福的烦恼”但反过来想想，说不定也是件好事。

  好消息是，我怀疑现在bug报告的速度，已经比开发者编写bug的速度快了。

  所以，我们实际上可能正在清理积压已久的bug。

  这让wtarreau回想2000年之前，那是个令安全维护者们魂牵梦绕的黄金时代。

  那时候，行业对安全漏洞的容忍度极低，根本没有现在这么多“屎山代码”。

  互联网还没普及，没法像现在这样OTA在线打补丁。

  软件得刻录进CD或者写进成百万张软盘里分发，如果这面有啥严重的安全漏洞……完都完了。

  所以，那时候的软件必须经得起千锤百炼。

  如今，软件行业可能会被AI倒逼着，重新捡起这种

  “变态”的质检标准“发布完就撒手不管”的模式彻底行不通了。

  每款软件现在都是活靶子。

  封禁机制失效了，厂商如果发现了漏洞，再没有借口“藏着不说”。

  毕竟，即便有人提前通知了厂商，谁敢保证不会有坏人也用AI发现了同样的问题，然后拿去攻击用户？

  所以一旦有bug被报告，维护者必须立马修复。

  对此，wtarreau表示很兴奋。

  虽然听上去有点吓人，也确实挺累，但软件质量可能会迎来一次前所未有的大提升。

  不过，对于这种“幸福的烦恼”，

  有网友表示完全无法共情

  他直言这些Linux开发者

  纯粹是在自我感动，有些缺陷根本无人在意，盲目升级反而会带来兼容性灾难。

  因此，他建议维护者们集中注意力，

  不用AI说什么就改什么，只要把那些最严重的系统级漏洞把好关就行了。

  对于这个观点，另一位网友则毫不客气地指出：

  这完全是无稽之谈，纯纯是在找借口。

  每个人都觉得“哦，我的使用场景永远不会遇到这些bug”，但总会有倒霉蛋遇到某个特定的bug，然后被逼疯。

  打不过就加入不过，这里或许还有一个更现实的问题——“幸福的烦恼”可能过于美好了，谁能保证，这不会是一场史无前例的安全地狱？

  维护者修bug的手速，真的能跑赢犯罪分子用AI挖漏洞的速度吗？

  但其实也没事儿，打不过，那咱就加入嘛。

  目前，AI在Linux内核开发里更多还是辅助，还没正式写完整代码。

  但如今，这条界限正在变得越来越模糊。

  内核大佬Greg自己就

  已经开始拿AI做实验我当时随手输了个很傻的提示词。结果它反手就甩给我60个补丁，其中三分之二竟然是对的。

  虽说这些补丁还得人工清理一下、补个漂亮的提交说明，再整合进去，但绝对不能管它们叫“AI垃圾”。

  “这些工具是有用的，”Greg坦言，“

  我们不能装看不见。它们真的来了，而且越来越强。”开发者们的身体也很诚实。“我们已经看到一些补丁确实是由AI生成的，”Greg补充道。

  而这样做最大的好处，就是响应速度。

  Greg提到，现在我们有很多机器人在盯着补丁检查。

  如果检查不通过，开发者能迅速收到答复，并给出反馈：“行，那我明天再提交一个版本。”这样一来，打补丁的速度，会被拉齐到和AI挖洞速度同一水平。

  对于Linux来说，跟AI的关系已经是他们不得不思考的问题了。

  这既是机遇，也是挑战。

  一方面，AI带来了新的漏洞来源，加重了人工审查负担。

  但另一方面，AI也在帮助缓解这种压力。

  或许，Linux内核维护者们如今所面临的，正是这场AI革命全景图的缩影。

  AI正在飞速发展，而这种发展，也逼得我们不得不去拥抱它。

  系好安全带吧。

  参考链接：

【AI采集时间】：2026-04-07 11:07