Linux 核心創辦人 Linus Torvalds 近日警告,大批研究人員借助 AI 工具搜尋漏洞,令 Linux 安全電郵清單幾乎完全失控。他批評研究人員使用相同工具發現相同漏洞,卻不斷重複提交報告,甚至反覆通報早已修補或公開討論過的問題,令維護團隊疲於應付無謂工作,嚴重影響效率。
AI 安全報告氾濫,Linux 安全清單陷入混亂
Torvalds 在最新 Linux 7.1 第 4 個候選版本(Release Candidate 4)更新通告中,先形容整體開發進展「相當正常」,隨即將焦點轉向安全通報流程。他坦言,持續湧入的 AI 報告已令安全電郵清單「幾乎完全失控」。由於研究人員使用相同工具掃描,重複發現同一漏洞情況尤其嚴重,維護團隊需要花大量時間分流、比對及回覆,反而無暇處理真正重要的安全問題。
重複通報比漏洞本身更礙事
Torvalds 更直言,這類通報令維護者疲於奔命,亦無助提升系統安全。他指出,AI 偵測到的漏洞本質上並非機密,放入私密清單處理只會浪費所有人時間;加上研究人員互相看不見對方報告,重複提交情況反而更惡化,形成惡性循環。
工具本身無問題,關鍵在實質貢獻
對於如何善用 AI,Torvalds 強調工具本身並無問題,關鍵在於研究人員是否真正帶來幫助,而非製造「不必要的痛苦」與「毫無意義的假工作」。他建議,若研究人員真心想作出貢獻,應先仔細閱讀相關文件,再撰寫修補程式(patch),在 AI 發現基礎上作出實質改善,而非只是「路過式」提交一份缺乏深入理解的報告。
核心維護者看法各異
值得留意的是,Torvalds 立場與另一位 Linux 核心維護者 Greg Kroah-Hartman 有所不同。Kroah-Hartman 早前曾表示,AI 已成為自由及開源軟件(FOSS)社群愈來愈有用的工具。事實上,AI 生成程式碼及安全報告近年在開源社群持續引發爭議,部分項目維護者已開始要求提交者明確聲明報告是否由 AI 輔助生成,以便進行更嚴格篩選。
AI 氾濫問題或蔓延至更多開源項目
隨着 AI 工具愈趨普及易用,類似問題相信會陸續在更多開源項目中浮現。Linux 社群日後或需建立更嚴格通報規範,例如要求提交者在通報前確認問題是否已有記錄,或須附上可用修補方案,方可獲接納處理,以減少重複及無效通報對維護團隊造成負擔。
來源: The Verge
