最搞心态的是,这些AI生成的报告,竟然大部分都还是对的,想摸鱼都没借口,何况这提交者还是一个不用睡觉的“赛博监工”。
最后这位维护者也只能无奈摊手:短期内是没辙了,劝同行们做好心理准备,大家一起受着吧。
“几个月前,我们收到了一些AI生成的低质量安全报告,”Linux内核负责人Greg Kroah-Hartman回忆道,“我们当时压根没当回事。”
Greg表示,各大开源项目的安全团队私下交流非常频繁,他很明确地表示,“所有开源安全团队目前都在经历这件事。”
两年前,大概每周只有2到3份报告,过去一年增长到了每周大约10份……今年开始,每天都是5-10份。
要知道,以前想找出安全漏洞,通常需要比较高的技术门槛,一份报告往往是人工深入分析出来的。
唯一的解释就是:现在有一大堆本来不是搞安全的人,都开始用AI来找漏洞了。
不过,wtarreau倒没有说抱怨什么,反而表示这是一种“幸福的烦恼”。
好消息是,我怀疑现在bug报告的速度,已经比开发者编写bug的速度快了。所以,我们实际上可能正在清理积压已久的bug。
这让wtarreau回想2000年之前,那是个令安全维护者们魂牵梦绕的黄金时代。
软件得刻录进CD或者写进成百万张软盘里分发,如果这面有啥严重的安全漏洞……完都完了。
毕竟,即便有人提前通知了厂商,谁敢保证不会有坏人也用AI发现了同样的问题,然后拿去攻击用户?
虽然听上去有点吓人,也确实挺累,但软件质量可能会迎来一次前所未有的大提升。
他直言这些Linux开发者纯粹是在自我感动,有些缺陷根本无人在意,盲目升级反而会带来兼容性灾难。
因此,他建议维护者们集中注意力,不用AI说什么就改什么,只要把那些最严重的系统级漏洞把好关就行了。
对于这个观点,另一位网友则毫不客气地指出:这完全是无稽之谈,纯纯是在找借口。
每个人都觉得“哦,我的使用场景永远不会遇到这些bug”,但总会有倒霉蛋遇到某个特定的bug,然后被逼疯。
“幸福的烦恼”可能过于美好了,谁能保证,这不会是一场史无前例的安全地狱?
我当时随手输了个很傻的提示词。结果它反手就甩给我60个补丁,其中三分之二竟然是对的。
虽说这些补丁还得人工清理一下、补个漂亮的提交说明,再整合进去,但绝对不能管它们叫“AI垃圾”。
“这些工具是有用的,”Greg坦言,“我们不能装看不见。它们真的来了,而且越来越强。”
开发者们的身体也很诚实。“我们已经看到一些补丁确实是由AI生成的,”Greg补充道。
如果检查不通过,开发者能迅速收到答复,并给出反馈:“行,那我明天再提交一个版本。”
或许,Linux内核维护者们如今所面临的,正是这场AI革命全景图的缩影。
在线客服
电话咨询
官方微信
返回顶部
