导读：Linus Torvalds 警告称，Linux 大型版本候选版发布“不利于长期稳定性”。

如今的人们开始大量使用人工智能对Linux系统漏洞扫描，如使用Claude Mythos和OpenAI Daybreak等工具，对案例漏洞的检测越来越频繁。

CloudLinux首席执行官 Igor Seletskiy对此现象如此说道：“真正的问题在于，我们往年通常只会发现一到两个影响多个发行版/版本的内核级 LPE（Linux 权限提升）漏洞。而现在，我们能在短短一周内发现了两个这样的漏洞。我们预计这种趋势将持续数月，这意味着企业可能不得不每周重启一次服务器。”

这是否预示着一种新趋势

Linux 内核创始人 Linus Torvalds 刚刚在明尼阿波利斯举行的北美开源峰会上表示说：直到最近，内核社区还会悄悄地通知各个发行版存在漏洞，并要求他们升级，而不会详细说明漏洞的具体情况，“大多数情况下，没人会弄明白到底发生了什么。” 那是过去。现在情况不一样了。他回忆道，借助人工智能加速分析，“上周，我们修复了那个漏洞；不到三个小时，就出现了一篇关于该漏洞修复影响的博客文章，因为安全人员总是渴望获得关注。”

正因如此，Torvalds 改变了Linux安全社区处理人工智能发现的安全漏洞的方式。“人工智能检测到的漏洞几乎从定义上来说就不是秘密，将它们放在某个私有列表中处理对所有相关人员来说都是浪费时间——而且只会加剧重复工作，因为报告者甚至看不到彼此的报告。” 

Torvalds 还补充说，对于人工智能发现的漏洞，你需要记住，“不会仅仅因为你用人工智能发现了它，其他 100 个人也用人工智能发现了它。”

这意味着人们将听到更多关于Linux安全问题的报道。但这真的是安全体系在恶化吗？Linux稳定内核维护者Greg Kroah-Hartman这样说：“也许吧？很难说；‘最近’出现的问题其实都很轻微，因为现在系统里有‘不受信任的用户’的情况已经不常见了。就我观察，我们实际修复的bug数量并没有明显增加。”

他这样说：“我们每天都在修复这类漏洞，只是目前似乎很多人都热衷于‘给漏洞命名’并公开漏洞利用程序。”

RedHat首席技术官克里斯·赖特在峰会上提出了一个重要的观点，即“在安全领域，并非所有问题都同等重要。总会有各种各样的漏洞出现。其中一些非常关键，我们需要迅速响应，因此这成为明确的优先事项。而另一些漏洞则属于低危漏洞，影响持续时间更长。” 

Torvalds 在开源峰会上这样补充道，即便你读到过关于Linux和人工智能发现漏洞的报道，也不要以为同样的事情不会发生在专有软件（例如Windows）上。“如果你认为人工智能无法对闭源软件进行逆向工程，那就大错特错了。”事实上，他警告说，“闭源软件在这方面甚至更糟糕，因为人工智能无法帮助你修复这些问题，但它确实可以帮助你发现这些问题。”

他还劝阻安全研究人员不要发布可用的漏洞利用程序：“对于真正涉及安全问题的事情，你可能不想公开漏洞利用程序……不要成为那种公开炫耀并说‘看，我可以搞垮这家大公司’的人。”

延续这一主题，开源软件基金会 (OpenSSF)的首席安全架构师 Christopher “CRob” Robinson这样说道 ， 由于人工智能的出现，“大约 30% 的已报告 Linux 安全漏洞都是重复的。在如今这个人工智能时代，人人都是研究人员，人人都拥有一个价值 20 美元的云代码账户，这将会是另一个问题。”反过来，这将给本已不堪重负的维护人员带来更多需要处理的补丁。

Torvalds 对此补充说，Linux 的维护者能够应付。然而，规模较小的开源项目则很容易不堪重负。

根据谷歌安全威胁情报小组的发现，真正的问题在于 漏洞的平均利用时间（TTE）持续下降，  “从 2018 年的 63 天降至 2024 年的 -1 天，并预计在 2025 年进一步降至 -7 天。负数表示漏洞的平均利用时间发生在补丁发布之前。”

这意味着什么？系统管理员和开发者必须比以往任何时候都更加重视安全。

在代码层的进一步防护

Linus Torvalds 表示，在内核开发项目组中，当他收到无关的 pull 请求时，他将予以拒绝。此前他抱怨开发者提交的 pull 请求时机不当且内容琐碎，有时甚至在使用 AI 审查代码之后仍然提交此类请求。

Torvalds 在他每周的内核更新状态报告中预示了变化，该报告于上周日宣布发布 Linux 内核 7.1 版本的第五个候选版本。

“不出所料，rc5 的规模相当大，比以往的 rc5 都要大得多，”Torvalds 写道，然后他继续透露说：“我对此并不完全满意——对普通车手来说，这些大多都是无关紧要的小事，这显然让一切都不那么可怕了，但与此同时，我真的不认为在 rc5 期间进行这样的调整是值得的。”

Linux 内核的开发周期通常由 Torvalds 开启两周的提交窗口。在此期间，贡献者可以提交他们希望最终被纳入下一个版本的代码。随后会发布七个候选版本（rc1-7），每个版本都代表着向稳定版本迈出的一个步骤。在这个过程中，总会有代码被修改。然而，在内核开发通常接近尾声的时候，rc5 却涌入了大量新的贡献，这无疑增加了开发的复杂性。

“这些确实是‘修复’，但同时其中很多都无关紧要，我认为最好把它们放到 linux-next 分支里，然后在合并窗口期合并，”Torvalds 建议道。“而且，是的，其中一些系列的修复是由 AI 代码审查触发的，”他写道。

“所以我觉得对于这种在开发后期进行的不必要的频繁改动，我会采取更强硬的态度，”他补充道。“我们应该关注的是*回归问题*。在发布周期的这个阶段，对长期存在的非关键性问题进行修复是完全不合适的。”

然后他宣布 rc5“太大了”，并表示他的帖子是“提前通知大家，我会拒绝那些毫无意义的、修复或不重要的拉取请求”。

“一些小的改动或许微不足道，而且造成问题的概率也很低，但‘概率低’并不等于‘概率为零’。”

“开始仔细查看你的拉取请求，并问你自己：‘这真的是一个退步，或者严重到不应该把它放到开发队列里吗？’”

结语

这已经是Torvalds连续第二周抱怨人工智能让内核开发监管工作变得更加复杂了。

在上周，他就曾“抱怨”道：

 “人工智能报告的持续涌现，使得安全列表几乎完全无法管理，因为不同的人使用相同的工具发现了相同的问题，导致了大量重复。”

作者：洛逸