Jay 发自 凹非寺量子位 | 公众号 QbitAILinux内核维护者崩溃了。现在AI找Bug的速度比他们修Bug还快。好不容易加班加点扫完雷睡一觉醒来——邮箱又被一堆新的漏洞报告塞爆了。从今年开始每天雷打不动收到5到10份报告周二周五尤其多。最搞心态的是这些AI生成的报告竟然大部分都还是对的想摸鱼都没借口何况这提交者还是一个不用睡觉的“赛博监工”。干不完活根本干不完。谁曾想呢AI成了Linux开发者的赛博马鞭。这有点吓人也挺累的。但又能咋办呢既然漏洞都摆在这儿了总不能装死等着被黑客偷家吧只能硬着头皮熬夜开修。最后这位维护者也只能无奈摊手短期内是没辙了劝同行们做好心理准备大家一起受着吧。我们可能将迎来一段持续数年的大混乱时代。一夜之间AI成了白帽黑客这并非某个维护者的独自悲伤。“几个月前我们收到了一些AI生成的低质量安全报告”Linux内核负责人Greg Kroah-Hartman回忆道“我们当时压根没当回事。”起初人们都以为这只是AI生成的又一堆垃圾。谁曾想一夜之间AI摇身一变成了顶尖的白帽黑客。各种AI报告疯狂轰炸邮箱而且正确率极高——打开一封诶这个说的还蛮有道理。再看下一封诶怎么这个说的也是对的随即两眼一黑开启了永无止境的打补丁……奇点来的过于突然就连Greg这样的内核大佬都感到一头雾水我们不知道发生了什么没人知道。Greg表示各大开源项目的安全团队私下交流非常频繁他很明确地表示“所有开源安全团队目前都在经历这件事。”至今都没缓过神来——到底是哪个新的AI工具横空出世了还是人们突然集体接入潜意识不约而同地一拍脑袋“嘿用AI挖漏洞好像很有意思咱们一起来试试吧。”无论原因究竟是什么一个是事实是确定的——海啸真的来了。Linux开发者受不了了两年前大概每周只有2到3份报告过去一年增长到了每周大约10份……今年开始每天都是5-10份。LWN.net上一位网名叫wtarreau的Linux内核维护者晒出了自己的“崩溃时刻”。报告数量激增只是个表象。真正让他头皮发麻的是每天都能看到以前从未见过的“奇观”反复上演两个不同的人提交了同一份漏洞报告要知道以前想找出安全漏洞通常需要比较高的技术门槛一份报告往往是人工深入分析出来的。这也意味着每个人的思路都不一样大家会走向不同的方向。在Linux这么庞大的代码库里重复发现同一个漏洞这概率简直比中彩票还低。唯一的解释就是现在有一大堆本来不是搞安全的人都开始用AI来找漏洞了。并且乐此不疲。这让wtarreau的工作量瞬间爆炸不得不扩张团队摇人来帮忙。不过wtarreau倒没有说抱怨什么反而表示这是一种“幸福的烦恼”。但反过来想想说不定也是件好事。好消息是我怀疑现在bug报告的速度已经比开发者编写bug的速度快了。所以我们实际上可能正在清理积压已久的bug。这让wtarreau回想2000年之前那是个令安全维护者们魂牵梦绕的黄金时代。那时候行业对安全漏洞的容忍度极低根本没有现在这么多“屎山代码”。互联网还没普及没法像现在这样OTA在线打补丁。软件得刻录进CD或者写进成百万张软盘里分发如果这面有啥严重的安全漏洞……完都完了。所以那时候的软件必须经得起千锤百炼。如今软件行业可能会被AI倒逼着重新捡起这种“变态”的质检标准。“发布完就撒手不管”的模式彻底行不通了。每款软件现在都是活靶子。封禁机制失效了厂商如果发现了漏洞再没有借口“藏着不说”。毕竟即便有人提前通知了厂商谁敢保证不会有坏人也用AI发现了同样的问题然后拿去攻击用户所以一旦有bug被报告维护者必须立马修复。对此wtarreau表示很兴奋。虽然听上去有点吓人也确实挺累但软件质量可能会迎来一次前所未有的大提升。不过对于这种“幸福的烦恼”有网友表示完全无法共情。他直言这些Linux开发者纯粹是在自我感动有些缺陷根本无人在意盲目升级反而会带来兼容性灾难。因此他建议维护者们集中注意力不用AI说什么就改什么只要把那些最严重的系统级漏洞把好关就行了。对于这个观点另一位网友则毫不客气地指出这完全是无稽之谈纯纯是在找借口。每个人都觉得“哦我的使用场景永远不会遇到这些bug”但总会有倒霉蛋遇到某个特定的bug然后被逼疯。打不过就加入不过这里或许还有一个更现实的问题——“幸福的烦恼”可能过于美好了谁能保证这不会是一场史无前例的安全地狱维护者修bug的手速真的能跑赢犯罪分子用AI挖漏洞的速度吗但其实也没事儿打不过那咱就加入嘛。目前AI在Linux内核开发里更多还是辅助还没正式写完整代码。但如今这条界限正在变得越来越模糊。内核大佬Greg自己就已经开始拿AI做实验了。我当时随手输了个很傻的提示词。结果它反手就甩给我60个补丁其中三分之二竟然是对的。虽说这些补丁还得人工清理一下、补个漂亮的提交说明再整合进去但绝对不能管它们叫“AI垃圾”。“这些工具是有用的”Greg坦言“我们不能装看不见。它们真的来了而且越来越强。”开发者们的身体也很诚实。“我们已经看到一些补丁确实是由AI生成的”Greg补充道。而这样做最大的好处就是响应速度。Greg提到现在我们有很多机器人在盯着补丁检查。如果检查不通过开发者能迅速收到答复并给出反馈“行那我明天再提交一个版本。”这样一来打补丁的速度会被拉齐到和AI挖洞速度同一水平。对于Linux来说跟AI的关系已经是他们不得不思考的问题了。这既是机遇也是挑战。一方面AI带来了新的漏洞来源加重了人工审查负担。但另一方面AI也在帮助缓解这种压力。或许Linux内核维护者们如今所面临的正是这场AI革命全景图的缩影。AI正在飞速发展而这种发展也逼得我们不得不去拥抱它。系好安全带吧。参考链接[1]https://lwn.net/Articles/1065620/[2]https://news.ycombinator.com/item?id47611921[3]https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/