北京
现在AI找Bug的速度,比他们修Bug还快。
从今年开始,Linux内核维护者每天雷打不动收到5到10份安全报告,周二周五尤其多。
最搞心态的是,这些AI生成的报告,竟然大部分都还是对的。想摸鱼都没借口——何况提交者还是一个不用睡觉的"赛博监工"。
谁曾想呢,AI成了Linux开发者的赛博马鞭。
既然漏洞都摆在这儿了,总不能装死等着被黑客偷家吧?最后这位维护者也只能无奈摊手:短期内是没辙了,劝同行们做好心理准备,大家一起受着吧。
"几个月前,我们收到了一些AI生成的低质量安全报告,"Linux内核负责人Greg Kroah-Hartman回忆道,"我们当时压根没当回事。"
起初,人们都以为这只是AI生成的又一堆垃圾。谁曾想,一夜之间,AI摇身一变,成了顶尖的白帽黑客。
各种AI报告疯狂轰炸邮箱,而且正确率极高——奇点来的过于突然,就连Greg这样的内核大佬都感到一头雾水。
Greg表示,各大开源项目的安全团队私下交流非常频繁,他很明确地说,"所有开源安全团队目前都在经历这件事。"
至今都没缓过神来——到底是哪个新的AI工具横空出世了?还是人们突然集体接入潜意识,不约而同地一拍脑袋:"嘿,用AI挖漏洞好像很有意思,咱们一起来试试吧。"
无论原因究竟是什么,一个事实是确定的——两年前,大概每周只有2到3份报告;过去一年增长到了每周大约10份;今年开始,每天都是5到10份。
LWN.net上,一位网名叫wtarreau的Linux内核维护者,晒出了自己的"崩溃时刻"。
真正让他头皮发麻的是,每天都能看到以前从未见过的"奇观",反复上演。
要知道,以前想找出安全漏洞,通常需要比较高的技术门槛,一份报告往往是人工深入分析出来的。这也意味着,每个人的思路都不一样,大家会走向不同的方向。
在Linux这么庞大的代码库里,重复发现同一个漏洞?唯一的解释就是:现在有一大堆本来不是搞安全的人,都开始用AI来找漏洞了。
这让wtarreau的工作量瞬间爆炸,不得不扩张团队,摇人来帮忙。
不过,wtarreau倒没有抱怨什么,反而表示这是一种"幸福的烦恼"。
"好消息是,我怀疑现在bug报告的速度,已经比开发者编写bug的速度快了。所以,我们实际上可能正在清理积压已久的bug。"
这让wtarreau回想起2000年之前,那是个令安全维护者们魂牵梦绕的黄金时代。那时候,行业对安全漏洞的容忍度极低,根本没有现在这么多"屎山代码"。互联网还没普及,没法像现在这样OTA在线打补丁。软件得刻录进CD或者写进成百万张软盘里分发,如果这面有啥严重的安全漏洞……完都完了。
如今,软件行业可能会被AI倒逼着,重新捡起这种"变态"的质检标准。
封禁机制失效了,厂商如果发现了漏洞,再没有借口"藏着不说"。毕竟,即便有人提前通知了厂商,谁敢保证不会有坏人也用AI发现了同样的问题,然后拿去攻击用户?所以一旦有bug被报告,维护者必须立马修复。
虽然听上去有点吓人,也确实挺累,但软件质量可能会迎来一次前所未有的大提升。
不过,对于这种"幸福的烦恼",有网友表示完全无法共情。他直言这些Linux开发者纯粹是在自我感动,有些缺陷根本无人在意,盲目升级反而会带来兼容性灾难。因此,他建议维护者们集中注意力,不用AI说什么就改什么,只要把那些最严重的系统级漏洞把好关就行了。
对于这个观点,另一位网友则毫不客气地指出:这完全是无稽之谈,纯纯是在找借口。每个人都觉得"哦,我的使用场景永远不会遇到这些bug",但总会有倒霉蛋遇到某个特定的bug,然后被逼疯。
打不过就加入。不过,这里或许还有一个更现实的问题——"幸福的烦恼"可能过于美好了,谁能保证,这不会是一场史无前例的安全地狱?
维护者修bug的手速,真的能跑赢犯罪分子用AI挖漏洞的速度吗?
目前,AI在Linux内核开发里更多还是辅助,还没正式写完整代码。内核大佬Greg自己就已经开始拿AI做实验了。
"我当时随手输了个很傻的提示词。结果它反手就甩给我60个补丁,其中三分之二竟然是对的。"
虽说这些补丁还得人工清理一下、补个漂亮的提交说明,再整合进去,但绝对不能管它们叫"AI垃圾"。
"这些工具是有用的,"Greg坦言,"我们不能装看不见。它们真的来了,而且越来越强。"
开发者们的身体也很诚实。"我们已经看到一些补丁确实是由AI生成的,"Greg补充道。
Greg提到,现在我们有很多机器人在盯着补丁检查。如果检查不通过,开发者能迅速收到答复,并给出反馈:"行,那我明天再提交一个版本。"这样一来,打补丁的速度,会被拉齐到和AI挖洞速度同一水平。
对于Linux来说,跟AI的关系已经是他们不得不思考的问题了。一方面,AI带来了新的漏洞来源,加重了人工审查负担。
或许,Linux内核维护者们如今所面临的,正是这场AI革命全景图的缩影。AI正在飞速发展,而这种发展,也逼得我们不得不去拥抱它。
Greg在实验AI时随手输入的那个"很傻的提示词",最终产出了60个补丁——其中三分之二是对的。剩下的三分之一,大概正在某个维护者的邮箱里排队,等着被人类认领。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
