Linus Torvalds 警告 AI 错误报告压倒性影响 Linux 安全

Linux 创始人兼首席架构师 Linus Torvalds 对越来越多的人工智能生成的错误报告淹没 Linux 内核安全邮件列表表示了严重担忧。在他最近的内核演讲中，Torvalds 对他所描述的日益难以维持的情况表示沮丧，在这种情况下，自动安全提交的数量基本上使得关键通信通道几乎无法有效管理。

据 The Register 报道，Torvalds 表示，“人工智能报告的持续泛滥基本上使安全列表几乎完全难以管理，由于不同的人使用相同的工具找到相同的东西，因此存在大量重复。”随着用于漏洞检测的人工智能工具在整个行业中激增，这一坦率的评估突显了 Linux 开发社区中日益严重的问题。大量的冗余提交可能会将合法的安全担忧埋葬在大量重复的调查结果之下。

Linux 创建者的挫败感源于自动安全扫描时代的一个根本挑战：多个独立团队使用相似或相同的人工智能安全工具经常同时识别相同的漏洞。人工智能驱动的扫描工具的激增非但没有简化漏洞披露流程，反而造成了瓶颈，需要 Linux 维护人员和更广泛的开源安全社区紧急关注。

虽然 Torvalds 承认，一些人工智能辅助的发现已被证明确实有价值，例如在人工智能工具的帮助下检测到的“复制失败”漏洞，并影响了几乎所有 Linux 发行版，但他强调，绝大多数提交的内容都是多余的发现。复制失败漏洞代表了一个重大的安全问题，它证明了在正确管理和重复数据删除的情况下，AI 漏洞检测可以提供的合法价值。

为了清晰地强调自己的立场，Torvalds 向开发者社区传达了一条直言不讳的信息：“文档可能没有我那么直白。因此，要明确一点：如果您使用 AI 工具发现了错误，那么其他人很可能也会发现它。”这个简单的警告强调了在安全报告到达官方邮件列表之前迫切需要更好的协调和过滤机制。

自动错误报告系统的激增反映了软件开发的更广泛趋势，组织越来越多地部署机器学习模型来识别潜在的漏洞和代码缺陷。从安全公司到云提供商，整个行业的公司都在人工智能驱动的静态分析工具上投入了大量资金，这些工具能够大规模扫描代码库并自动标记潜在问题以供人工审查。

然而，Linux 内核的安全状况说明了这种技术进步的一个意想不到的后果：当许多组织针对 Linux 内核等大规模、引人注目的目标部署相同或类似的人工智能工具时，发现相同漏洞的数学概率接近确定性。这造成了协调问题，当前由志愿者驱动的 Linux 安全流程从未设计用于处理如此大规模的问题。

Linux 内核安全团队面临的挑战不仅仅是重复提交的烦恼。每份报告，无论其冗余程度如何，都需要人工审查和分类，以确定它是真正的问题还是人工智能扫描工具的误报。这种劳动密集型过程将有限的志愿者资源从解决新的安全问题转移到管理大量自动化报告产生的管理开销。

Torvalds 的评论表明 Linux 社区需要开发新的流程和过滤机制，专门用于处理大量人工智能生成的提交。潜在的解决方案可能包括建立提交前重复数据删除系统，要求人工智能工具操作员在提交新报告之前检查现有的披露信息，或者实施自动过滤系统，以便在冗余发现到达人工审阅者之前识别和整合它们。

这种情况还引发了关于在人工智能广泛采用的时代负责任的披露实践的更广泛的问题。部署安全扫描工具的组织有道德义务考虑其自动提交的下游影响，并实施负责任的披露协议，以最大限度地减少维护者社区的冗余和开销。随着人工智能工具变得越来越强大并且在整个软件行业得到更广泛的采用，这一责任变得越来越重要。

除了眼前的管理挑战之外，Torvalds 的警告还反映出随着人工智能工具变得越来越普遍，人们对开源安全治理的未来更加担忧。 Linux 内核代表了现代计算中最关键的软件基础设施之一，是从 Android 设备到云服务器再到嵌入式系统的所有内容的基础。确保其安全流程保持正常运行和高效对于维护全球计算基础设施的完整性至关重要。

行业观察家指出，Torvalds 的直率评估可能会催化有关建立负责任的人工智能辅助漏洞披露的全行业标准的重要对话。随着越来越多的组织采用自动化安全工具，围绕重复数据删除、协调和提交协议建立最佳实践可以防止在其他备受瞩目的开源项目或商业软件生态系统中形成类似的瓶颈。

这位 Linux 创始人的挫败感也凸显了现代安全实践中固有的不对称性：虽然用于识别漏洞的工具已经变得民主化，并且通过人工智能越来越容易获得，但管理安全披露和协调修复的实际工作仍然集中在相对较小的志愿者维护人员群体中。发现问题的容易性与管理解决方案的难度之间的这种不匹配对开源软件治理构成了重大的结构性挑战。

展望未来，Linux 社区和其他受影响的开源项目将需要探索实用的解决方案，使他们能够从人工智能驱动的漏洞检测中受益，同时防止过度重复造成的组织功能障碍。这可能涉及开发标准化提交协议、实施可在提交前查询的机器可读漏洞数据库，或建立专门设计用于处理大量自动化报告的专用分类系统。无论出现什么解决方案，托瓦尔兹的坦率评估清楚地表明现状不再可持续。