Jay 发自 凹非寺
量子位 | 公众号 QbitAI

Linux内核维护者崩溃了。

现在AI找Bug的速度，比他们修Bug还快。

好不容易加班加点扫完雷，睡一觉醒来——

邮箱又被一堆新的漏洞报告塞爆了。

从今年开始，每天雷打不动收到5到10份报告，周二周五尤其多。

最搞心态的是，这些AI生成的报告，竟然大部分都还是对的，想摸鱼都没借口，何况这提交者还是一个不用睡觉的“赛博监工”。

干不完，活根本干不完。

谁曾想呢，AI成了Linux开发者的赛博马鞭。

这有点吓人（也挺累的）。

但又能咋办呢？

既然漏洞都摆在这儿了，总不能装死等着被黑客偷家吧？

只能硬着头皮熬夜开修。

最后这位维护者也只能无奈摊手：短期内是没辙了，劝同行们做好心理准备，大家一起受着吧。

我们可能将迎来一段持续数年的大混乱时代。

一夜之间，AI成了白帽黑客

这并非某个维护者的独自悲伤。

“几个月前，我们收到了一些AI生成的低质量安全报告，”Linux内核负责人Greg Kroah-Hartman回忆道，“我们当时压根没当回事。”

起初，人们都以为这只是AI生成的又一堆垃圾。

谁曾想，一夜之间，AI摇身一变，成了顶尖的白帽黑客。

各种AI报告疯狂轰炸邮箱，而且正确率极高——

打开一封，诶，这个说的还蛮有道理。

再看下一封，诶，怎么这个说的也是对的？？

随即两眼一黑，开启了永无止境的打补丁……

奇点来的过于突然，就连Greg这样的内核大佬都感到一头雾水：

我们不知道发生了什么，没人知道。

Greg表示，各大开源项目的安全团队私下交流非常频繁，他很明确地表示，“所有开源安全团队目前都在经历这件事。”

至今都没缓过神来——到底是哪个新的AI工具横空出世了？

还是人们突然集体接入潜意识，不约而同地一拍脑袋：

“嘿，用AI挖漏洞好像很有意思，咱们一起来试试吧。”

无论原因究竟是什么，一个是事实是确定的——

海啸真的来了。

Linux开发者受不了了！

两年前，大概每周只有2到3份报告，过去一年增长到了每周大约10份……
今年开始，每天都是5-10份。

LWN.net上，一位网名叫wtarreau的Linux内核维护者，晒出了自己的“崩溃时刻”。

报告数量激增只是个表象。

真正让他头皮发麻的是，每天都能看到以前从未见过的“奇观”，反复上演：

两个不同的人，提交了同一份漏洞报告

要知道，以前想找出安全漏洞，通常需要比较高的技术门槛，一份报告往往是人工深入分析出来的。

这也意味着，每个人的思路都不一样，大家会走向不同的方向。

在Linux这么庞大的代码库里，重复发现同一个漏洞？

这概率简直比中彩票还低。

唯一的解释就是：现在有一大堆本来不是搞安全的人，都开始用AI来找漏洞了。

并且乐此不疲。

这让wtarreau的工作量瞬间爆炸，不得不扩张团队，摇人来帮忙。

不过，wtarreau倒没有说抱怨什么，反而表示这是一种“幸福的烦恼”。

但反过来想想，说不定也是件好事。

好消息是，我怀疑现在bug报告的速度，已经比开发者编写bug的速度快了。
所以，我们实际上可能正在清理积压已久的bug。

这让wtarreau回想2000年之前，那是个令安全维护者们魂牵梦绕的黄金时代。

那时候，行业对安全漏洞的容忍度极低，根本没有现在这么多“屎山代码”。

互联网还没普及，没法像现在这样OTA在线打补丁。

软件得刻录进CD或者写进成百万张软盘里分发，如果这面有啥严重的安全漏洞……完都完了。

所以，那时候的软件必须经得起千锤百炼。

如今，软件行业可能会被AI倒逼着，重新捡起这种“变态”的质检标准。

“发布完就撒手不管”的模式彻底行不通了。

每款软件现在都是活靶子。

封禁机制失效了，厂商如果发现了漏洞，再没有借口“藏着不说”。

毕竟，即便有人提前通知了厂商，谁敢保证不会有坏人也用AI发现了同样的问题，然后拿去攻击用户？

所以一旦有bug被报告，维护者必须立马修复。

对此，wtarreau表示很兴奋。

虽然听上去有点吓人，也确实挺累，但软件质量可能会迎来一次前所未有的大提升。

不过，对于这种“幸福的烦恼”，有网友表示完全无法共情。

他直言这些Linux开发者纯粹是在自我感动，有些缺陷根本无人在意，盲目升级反而会带来兼容性灾难。

因此，他建议维护者们集中注意力，不用AI说什么就改什么，只要把那些最严重的系统级漏洞把好关就行了。

对于这个观点，另一位网友则毫不客气地指出：这完全是无稽之谈，纯纯是在找借口。

每个人都觉得“哦，我的使用场景永远不会遇到这些bug”，但总会有倒霉蛋遇到某个特定的bug，然后被逼疯。

打不过就加入

不过，这里或许还有一个更现实的问题——

“幸福的烦恼”可能过于美好了，谁能保证，这不会是一场史无前例的安全地狱？

维护者修bug的手速，真的能跑赢犯罪分子用AI挖漏洞的速度吗？

但其实也没事儿，打不过，那咱就加入嘛。

目前，AI在Linux内核开发里更多还是辅助，还没正式写完整代码。

但如今，这条界限正在变得越来越模糊。

内核大佬Greg自己就已经开始拿AI做实验了。

我当时随手输了个很傻的提示词。结果它反手就甩给我60个补丁，其中三分之二竟然是对的。

虽说这些补丁还得人工清理一下、补个漂亮的提交说明，再整合进去，但绝对不能管它们叫“AI垃圾”。

“这些工具是有用的，”Greg坦言，“我们不能装看不见。它们真的来了，而且越来越强。”

开发者们的身体也很诚实。“我们已经看到一些补丁确实是由AI生成的，”Greg补充道。

而这样做最大的好处，就是响应速度。

Greg提到，现在我们有很多机器人在盯着补丁检查。

如果检查不通过，开发者能迅速收到答复，并给出反馈：“行，那我明天再提交一个版本。”

这样一来，打补丁的速度，会被拉齐到和AI挖洞速度同一水平。

对于Linux来说，跟AI的关系已经是他们不得不思考的问题了。

这既是机遇，也是挑战。

一方面，AI带来了新的漏洞来源，加重了人工审查负担。

但另一方面，AI也在帮助缓解这种压力。

或许，Linux内核维护者们如今所面临的，正是这场AI革命全景图的缩影。

AI正在飞速发展，而这种发展，也逼得我们不得不去拥抱它。

系好安全带吧。

参考链接：
[1]
https://lwn.net/Articles/1065620/
[2]
https://news.ycombinator.com/item?id=47611921
[3]
https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/