Linux内核创始人Linus Torvalds近日在一次内核候选版本的状态更新中指出,AI工具生成的漏洞报告正严重冲击Linux安全邮件列表,导致其“几乎完全无法管理”。Torvalds表示,大量研究人员使用相同的AI工具发现相同的问题,产生巨大重复,维护者不得不花费大量时间将报告转发给正确的人员,或者告知提交者“该漏洞已在数周或数月前修复”。
Torvalds在其最新的每周内核状态邮件中谈到了这一问题。他指出,AI报告带来的重复和噪声已使安全列表难以管理,“不同的人使用相同的工具找出相同的漏洞,由此产生的巨大重复性让安全列表几乎无法管理”。他强调人们把所有时间都花在转发和指出“这个漏洞已经在一周/一个月前修复了”上,并指向公开讨论。
Torvalds进一步指出,这些AI生成的报告本质上是“毫无意义的刷屏”,因为AI工具发现的大部分漏洞“几乎从一开始就不是秘密”。提交这些漏洞只会加剧重复问题。他建议研究人员在使用AI时应当注重产出实际价值,例如直接编写补丁,而不是仅仅提交自动发现的漏洞。
这类问题并非仅影响Linux项目。此前,curl项目以及HackerOne旗下的互联网漏洞奖励计划(Internet Bug Bounty Team)已因类似原因关闭或限制了漏洞报告渠道。AI辅助漏洞挖掘在提升发现效率的同时,也带来了大量低质量、重复的提报,给开源社区的维护者造成了沉重负担。
本文参考来源:TechRadar
