林纳斯·托瓦兹(Linus Torvalds)近日宣布发布 Linux 7.1 的第四个候选版本(7.1-rc4),同时罕见地对当前充斥在安全渠道中的 AI 生成漏洞报告发出严厉警告,称这些报告正让 Linux 内核安全团队濒临“失控”。
托瓦兹指出,AI 工具本身并非问题,关键在于它们是否真正起到帮助作用。当前的情况是,大量开发者用同一类 AI 工具扫描内核代码,发现相同或类似的问题后,纷纷以“驱动路人”的方式将报告转发给安全邮件列表或他们认为能修复问题的人,导致相同或早已修复的漏洞被反复报告,严重浪费了维护者的时间和精力。
他强调,自己并不是在劝阻开发者在 Linux 开发中使用 AI 工具,相反,他承认 AI 在代码分析方面的潜力。但他明确表示,如果开发者确实通过 AI 工具发现了内核中的问题,那么很有可能已经有其他人发现并报告过了,因此简单转发一份“机器吐出来的报告”并不构成真正的贡献。
在托瓦兹看来,真正“有价值”的做法,是在使用 AI 工具发现疑似问题后,先认真阅读相关文档,理解问题的来龙去脈,然后提交一个附带补丁的完整修复方案。他直言不讳地表示,内核维护者并不需要那些缺乏理解、只会抄送随机报告的“路过贡献者”,而是需要真正愿意负责任地推进修复工作的开发者。
谈到目前安全邮件列表的状况时,托瓦兹用“几乎无法管理”来形容。他指出,AI 工具生成的报告形成了“持续的洪流”,大量重复内容挤满了安全列表。不同的人用同样的工具找到同样的问题,维护者不得不花大量时间把报告转发给合适的维护者,或者反复回复“这个问题在一周前/一个月前已经修复”,并附上公开讨论的链接。
在这番严厉批评之外,托瓦兹也提到,从其他角度看,本周内核开发节奏总体仍算正常。就 7.1-rc4 的补丁构成而言,驱动相关变更约占总数的一半,其中 GPU 驱动更新最为突出;其他改动则主要集中在网络子系统、核心内核、文件系统以及不同架构相关的更新上,整体走向与往常的开发周期相似。
托瓦兹的这一公开表态凸显了当前 AI 浪潮对开源软件开发流程带来的新挑战。一方面,AI 工具有助于更快地发现潜在缺陷;另一方面,缺乏筛选和责任意识的大量“自动化举报”,正在挤占维护者有限的精力,使安全渠道从“早期预警系统”变成“噪音源”。有观察认为,即便托瓦兹已经发出明确请求,依然会有不少人忽视这一警告,继续以“复制粘贴报告”的方式参与所谓的安全贡献。
未来,Linux 内核社区将如何在鼓励使用新工具、提升代码质量,与避免安全渠道被重复、低质量报告淹没之间找到平衡,将成为开源生态必须正视的问题。目前来看,托瓦兹最在意的,是让真正负责的开发者继续高效推进修复工作,而不是被无穷无尽的 AI 报告拖入“文书地狱”。