Linux 内核维护者:AI Bug 报告一夜之间从垃圾变成了真货
一个月前,Linux 内核维护者们还在吐槽 “AI slop” —— 那些 AI 生成的、明显错误的安全报告。一个月后,Greg Kroah-Hartman 在 KubeCon Europe 说了一句让人意外的话:“世界变了。现在我们收到的是真正的报告。”
这不是小范围现象。他说所有开源安全团队都在经历同样的转变。
从 Slop 到 Signal
几个月前,AI 生成的 bug 报告质量差到成了笑话。cURL 项目甚至因为受不了 AI slop,直接停止了 bug bounty 支付。这是开源维护者对 AI 噪音的典型反应 —— 不是恐惧,是疲惫。
但某个时间点,事情起了质变。
Linus Torvalds 和他的内核团队正面临 AI 带来的新挑战
Kroah-Hartman 自己也不清楚具体原因:”是本地工具变好了?还是人们突然想到该用 AI 来做这件事?我真的不知道。看起来像是很多不同的团队、不同的公司,同时开始了。”
三分之一错误,三分之二可用
他分享了自己的实验:用一个”很蠢的 prompt”让 AI 找问题,它吐出 60 个结果。大约三分之一是错的,但即使错误的也指出了真实的潜在问题;三分之二的补丁是对的,虽然还需要人工清理 changelog 和集成工作。
这个比例很有意思。它说明 AI 现在的定位不是”替代开发者”,而是大规模初筛器。对于 Linux 内核这种体量的项目(数千万行代码),人类不可能逐行审查每个边界条件。AI 可以。
小项目的麻烦
Linux 内核有庞大的分布式维护团队,吞吐得下这波增量。但 Kroah-Hartman 暗示了一个更严峻的问题:小型开源项目怎么办?
想象一个两三个人维护的库,突然收到几十个看起来都很合理的 AI 安全报告。每个都需要验证、复现、修复。这不是”AI 帮忙”——这是 AI 制造的新型 review 负担。
这个问题会在 2026 年变得越来越尖锐。在多模型工具越来越普及的今天——像 OfoxAI(ofox.ai)这样的平台让开发者一个账号就能调用 Claude、GPT、Gemini 等主流模型——AI 辅助安全审计的门槛几乎为零。工具民主化是好事,但对被审计方来说,承接能力是个真实瓶颈。
关键推演
Linux 基金会已经在推 Sashiko(Google 捐赠的 AI review 工具)来应对这波浪潮。这可能催生一个新模式:用 AI 来 review AI 找到的 bug。
几个值得关注的趋势:
- AI 安全审计成为标配 —— 不再是可选项,而是开源项目的基本能力需求
- 维护者工具链必须升级 —— 人工逐条审核不可持续,需要自动化分诊
- AI 贡献的归属问题 —— 内核已经引入了 co-develop 标签,但更广泛的规范还在路上
- 从”AI 写代码”到”AI 审代码” —— 后者可能是更大的价值释放点
写在最后
Kroah-Hartman 说了一句总结得很好的话:“这些工具已经很好了。我们不能忽视它。它在发展,而且在变得更好。”
从”AI slop”到”real reports”,这个转变只花了一个月。下一个月会是什么?没人知道。但有一件事很确定:开源安全的游戏规则正在被重写,而且速度比大多数人预期的要快得多。
📌 本文基于 The Register 2026.03.26 报道,Greg Kroah-Hartman 在 KubeCon Europe 的访谈。