首页 > 科技 > AI加速发现Linux安全缺陷,Torvalds对智能化代码提交持更严格立场
标签

AI加速发现Linux安全缺陷,Torvalds对智能化代码提交持更严格立场

发布时间:2026-05-25 12:36来源:微信阅读:5

导语:Linus Torvalds发出警示,Linux主版本开发阶段的大量变更可能“危及长期稳定性”。

当前业界正广泛运用人工智能技术对Linux系统进行缺陷排查,例如借助Claude Mythos与OpenAI Daybreak等方案,针对已知案例的漏洞识别日益增多。

CloudLinux掌门人 Igor Seletskiy就此评论:“真正的隐忧在于,过去我们通常只会遇到一两例波及多个发行版本的内核级LPE(Linux权限提升)漏洞。而眼下,短短一周内我们就已发现了两例。我们预判这种态势将延续数月,意味着企业或许需要每周执行一次服务器重启。”

这是否意味着某种新动向

Linux内核缔造者 Linus Torvalds 近期在明尼阿波利斯举办的北美开源峰会上指出:直至不久之前,内核团队仍会低调地知会各发行版存在缺陷,督促其升级,却不会披露具体细节,“多数时候,没人清楚究竟发生了什么。”那是过去。如今已然不同。他回顾道,依托人工智能加速分析,“上周我们修复了那个缺陷;不到三小时,就涌现出一篇分析该修复影响的博文,因为安全从业者总是追逐流量。”

正基于此,Torvalds调整了Linux安全社区应对人工智能挖掘出的安全缺陷的策略。“人工智能检出的缺陷本质上就不是什么秘密,将它们束之高阁进行处理对各方都是徒劳——反而会加重重复劳动,因为提交者甚至无法看到彼此的报告。”

Torvalds 还指出,针对人工智能发现的缺陷,务必要认清,“不会因为你用人工智能找到了它,另外一百个人就找不到。”

这预示着Linux安全问题的曝光度将显著提升。但这是否意味着安全生态在恶化?Linux稳定内核守护者Greg Kroah-Hartman如此评价:“或许吧?难以定论;‘近期’浮现的问题实则都比较轻微,因为当前系统中‘不可信用户’的场景已不多见。就我观察,我们实际处理的缺陷数量并未显著攀升。”

他补充道:“我们每日都在处理这类问题,只是眼下似乎越来越多人热衷于‘为缺陷命名’并公开利用代码。”

RedHat技术总监克里斯·赖特在峰会上阐述了关键观点:“在安全领域,缺陷并非都处于同一等级。总会有形形色色的缺陷涌现。其中某些极其危险,需要我们快速响应,因而成为首要任务。而另一些则属于轻微缺陷,影响周期更为漫长。”

Torvalds在开源峰会上进一步说明,即便你曾阅读过关于Linux与人工智能发现缺陷的报道,也切莫认定同类情况不会降临到专有软件(比如Windows)上。“若你认为人工智能无法对闭源软件进行逆向工程,那就大错特错了。”实际上,他警示道,“闭源软件在这方面甚至更堪忧,因为人工智能无法辅助你修复这些问题,但却能帮助你发现它们。”

他还奉劝安全研究人员不要散布可用的利用工具:“对于真正涉及安全的事务,你或许不想公开利用代码……不要成为那种四处炫耀并声称‘看,我能搞垮这家大企业’的人。”

延续这一议题,开源软件基金会 (OpenSSF)的首席安全架构师 Christopher “CRob” Robinson 表示, 由于人工智能的介入,“大约 30% 的已提交 Linux 安全缺陷属于重复发现。在当下这个人工智能时代,人人都可以是研究者,人人都能拥有价值20美元的云端代码账户,这将衍生出新的问题。”反之,这会给本已压力山大的维护者带来更多待处理的补丁。

Torvalds对此补充,Linux的维护者尚能应对。然而,规模较小的开源项目则极易不堪重负。

根据谷歌安全威胁情报团队的调研,真正的症结在于 缺陷的平均利用时间(TTE)持续缩短, “从 2018 年的 63 天缩短至 2024 年的 -1 天,并预计在 2025 年进一步降至 -7 天。负数意味着缺陷的平均利用时间先于补丁发布。”

这意味着什么?系统管理员与开发者必须比过去更加重视安全问题。

代码层面的进一步防护

Linus Torvalds 表示,在内核开发项目中,无关的pull请求将被直接驳回。此前他曾批评开发者提交的pull请求时机不当且内容琐碎,有时甚至在AI审查代码后依然我行我素。

Torvalds 在每周的内核开发状态报告中预示了这些变化,该报告于上周日随Linux内核7.1版本第五个候选版本的发布而公布。

“不出所料,rc5的规模相当可观,比以往任何一次rc5都大,”Torvalds写道,随后他透露:“我对这种情况并不完全满意——对普通开发者而言,这些大多是无足轻重的琐事,这显然让整体局面不那么令人担忧,但与此同时,我真的认为在rc5期间进行这类调整并不值得。”

Linux内核的开发周期通常由Torvalds开启两周的提交窗口。在此期间,贡献者可以提交期望纳入下一版本的代码。随后会发布七个候选版本(rc1-7),每个版本都代表着向稳定版本迈进的一步。在此过程中,代码修改在所难免。然而,在内核开发通常趋于收尾的阶段,rc5却涌入大量新的贡献,这无疑增添了复杂性。

“这些确实是‘修复’,但其中很多都无关宏旨,我认为最好将它们放入linux-next分支,待到合并窗口期再整合,”Torvalds建议道。“而且,是的,其中部分系列的修复是由AI代码审查触发的,”他写道。

“所以我认为对于这种在开发后期进行的不必要的频繁改动,我会采取更强硬的立场,”他补充道。“我们应该聚焦的是*回归问题*。在发布周期的这个阶段,对长期存在但非关键性的问题进行修复是完全不恰当的。”

随后他宣布rc5“规模过大”,并声明他的帖子是“提前知会大家,我将拒绝那些无意义的、修复不充分或无关紧要的pull请求”。

“一些小改动或许微不足道,引发问题的概率也很低,但‘概率低’并不等同于‘概率为零’。”

“开始审慎审视你的pull请求,并扪心自问:‘这真的是一个退步,或者严重到不应该放入开发队列吗?’”

结语

这已是Torvalds连续第二周就人工智能使内核开发监管工作更加复杂化表达不满。

在上周,他就曾“吐槽”道:

“人工智能报告的持续涌现,使得安全列表几乎完全无法管理,因为不同的人使用相同的工具发现了相同的问题,导致了大量重复。”

作者:洛逸

← 上一篇:AI专业全景解析:从学习到就业的完整路径 下一篇:游戏 AI 突破边界:机遇与挑战并存 →