Linux内核创始人Linus Torvalds表示,研究人员借助AI发现漏洞后,集中向安全邮件列表提交大量重复报告,已使该列表“几乎处于失控状态”。
据The Register当地时间17日报道,Torvalds在每周内核开发进展更新中发布了Linux 7.1第四个候选版本,并表示整体发布节奏仍在“相对正常”地推进。
不过,他随后引用项目文档指出,随着AI生成或辅助发现的漏洞报告不断涌入,安全邮件列表正变得越来越难以管理。不同提交者使用相同工具发现同一问题,导致重复报送大幅增加。
Torvalds称,维护者如今不得不花费大量时间对这些重复报告进行分类、核查,并反复回复“该问题已修复”。在他看来,这类工作“完全是在无谓消耗精力”。
他还指出,这类由AI检测出的漏洞本身并不属于需要保密的信息,放在非公开的安全邮件列表中处理,反而只会额外占用相关人员时间。由于该安全邮件列表并不公开,外部提交者也无法判断同一漏洞是否已被他人报告,重复提交因此更容易出现。
对于AI在软件安全领域的作用,Torvalds表示,AI工具“当然有价值”,前提是它确实能够带来帮助,而不是制造额外负担和无效劳动。他认为,AI可以使用,但应该以更高效、也更合理的方式使用。
Torvalds进一步表示,如果有人借助AI工具发现了某个漏洞,其他人很可能也已经发现了同样的问题。若想真正提升贡献价值,提交者应先阅读相关文档,并在报告之外进一步提交补丁等实质性内容,而不是在缺乏足够理解的情况下随意抛出问题报告。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr