Linux 内核创始人 Linus Torvalds 在2026年5月17日发布的 Linux 7.1-rc4 周报中,罕见地对 AI 工具的滥用发出了严厉警告。他指出,大量研究者使用 AI 工具挖掘漏洞并向 Linux 安全邮件列表提交报告,导致邮件列表“几乎无法管理”。
Linus 原话怎么说的
Torvalds 在周报中写道:
“AI 报告的持续涌入基本上让安全列表变得几乎无法管理,由于不同的人用相同的工具发现了相同的问题,导致了大量重复。人们把所有时间都花在把报告转发给正确的人,或者告诉提交者’这个问题一周/一个月前已经修复了’,然后指向公开讨论。这完全是无意义的消耗。”
他还补充说:
“AI 检测到的漏洞,按定义来说就不是秘密。把它们放在某个私密列表上处理,是浪费所有人的时间——而且只会让重复变得更严重,因为报告者甚至看不到彼此的报告。”
问题的核心是什么
Torvalds 指出的问题其实很具体:
- AI 工具同质化:不同的研究者使用相同的 AI 工具扫描相同的代码库,发现的自然也是相同的漏洞
- 重复报告泛滥:同一个漏洞可能被十几个人分别”发现”并提交,安全维护者需要逐一处理
- 报告质量低:很多 AI 生成的漏洞报告缺乏上下文理解,有些报告提到的问题早就被修复了
- 维护者负担加重:原本就紧缺的内核安全维护者,现在需要花大量时间处理这些重复报告
Linus 的建议
Torvalds 并没有否定 AI 工具本身,他说得很明确:
“AI 工具很棒,但前提是它们真的有帮助,而不是制造不必要的痛苦和无意义的假装工作。请自由地使用它们,但要用一种 productive 的方式,让所有人有更好的体验。”
他给 AI 漏洞报告者提了一个具体建议:
“如果你用 AI 工具发现了漏洞,很可能别人也发现了。如果你想真正创造价值,阅读文档,同时写一个补丁,在 AI 做的基础上增加真正的价值。不要做那种’发个随机报告、没有真正理解’的路过式提交者。”
这件事为什么重要
这不仅仅是一个 Linux 内核社区的问题。它反映了 AI 工具在开源社区中普遍存在的几个矛盾:
1. AI 降低了门槛,但也降低了质量
以前找内核漏洞需要深厚的技术功底,现在 AI 工具让任何人都能扫描代码找问题。门槛降低了,但报告的质量也跟着降低了。
2. 开源社区的人力瓶颈
Linux 内核的安全维护者就那么几个人,他们的时间是有限的。当 AI 让漏洞发现变成了”批量作业”,处理能力就变成了瓶颈。
3. AI 产出需要人工增值
Torvalds 的核心观点是:光用 AI 找到漏洞还不够,你需要在 AI 的基础上增加人工价值——理解问题、写补丁、提供上下文。这个原则适用于所有使用 AI 工具的场景。
对站长和开发者的启示
这件事给我们几个实际的提醒:
- 用 AI 做安全检测时,先过滤重复:如果你用 AI 工具扫描自己的代码或服务器,结果中可能有大量重复和误报,需要人工筛选
- 提交漏洞报告要有上下文:不管是不是 AI 发现的,提交安全报告时应该包含:问题描述、影响范围、复现步骤、建议修复方案
- 不要高估 AI 安全工具的独创性:如果一个 AI 工具能发现某个漏洞,其他使用相同工具的人也能发现。真正的价值在于如何修复,而不只是发现
- 尊重开源维护者的时间:开源社区的维护者大多是志愿者,他们的时间很宝贵。提交报告前先搜索是否已有人报告过同样的问题
相关背景
值得注意的是,Linux 内核另一位重要维护者 Greg Kroah-Hartman 不久前还对媒体表示,AI 已经成为开源社区越来越有用的工具。这两种观点并不矛盾——AI 是好工具,但滥用 AI 会制造新问题。
2026年3月,就有报道称”AI 漏洞报告从垃圾变成了合法”,说明内核社区确实在逐步接受 AI 辅助的安全研究。但 Torvalds 的最新发言表明,这个过程还远没有结束。
来源:
暂无评论内容