Linus Torvalds:人工智能检测到的错误报告使内核安全列表“几乎完全难以管理”
一句话看懂:Linux 内核创始人 Linus Torvalds 在最新版本发布公告中公开指责,由 AI 工具批量发现并提交的安全漏洞报告正造成大量重复和无效工作,导致内核安全团队不堪重负,官方已修改文档明确此类漏洞不应被视为秘密问题。
事件核心:发生了什么
5 月 18 日,Linus Torvalds 在 Linux 内核邮件列表上宣布了新的候选发布版本时,重点提到了文档更新背后的新问题:涌入的大量 AI 生成的漏洞报告已经让内核安全列表“几乎完全难以管理”。官方新发布的文档指出,多个研究者使用相同 AI 工具会在同一天发现相同漏洞,导致巨量重复提交。Torvalds 描述团队成员每天都在无谓地转发报告或回复“这在一周/一个月前已修复”,这种内耗完全浪费了私有安全列表的价值。新文档明确强调,AI 检测到的 bug 在定义上不属于秘密漏洞,在秘密列表中处理只会加剧重复。Torvalds 本人敦促用户和开发者不要成为“发送随机报告但没有真正理解的过客”,有建设性的做法是在 AI 工作基础上阅读文档、创建补丁、提供真正增值。
为什么重要
这是开放社区领袖首次公开批评 AI 检测工具在安全生态中造成的系统性噪声问题。Linux 内核作为全球最核心的开源基础设施,其安全流程的堵点直接暴露了当前 AI 代码分析工具的两大缺陷:一是大规模预警的同质化(不同工具基于相似模型和数据集,导致结果严重重叠);二是缺乏对漏洞严重性及公开历史上下文的判断能力。这一事件也为整个开源社区敲响警钟——AI 带来的自动化提交若不加以规范和过滤,将反向压垮维护者,让“安全响应”变成“报告分拣”。Torvalds 的措辞虽然直接,但指出了一个更深的矛盾:大模型和 AI API 带来的效率提升,若只停留在“检测”层面而不参与“修复 + 理解”闭环,最终会损害协作中的信任和时间。
对用户/开发者/创作者的影响
对 AI 工具开发者和 API 使用者:产品需要加强去重机制和上下文感知能力,避免对已公开修复的漏洞重复提交;开发者调用的安全分析 API 应内置补丁匹配和历史数据对比功能。对 Linux 内核贡献者和安全研究员:不能再简单将 AI 输出当作闭门漏洞直接向安全列表投递,官方已明确要求这种报告应走公开邮件列表而非秘密通道,否则将被视为无用噪音。对普通 Linux 用户:好消息是内核现在的策略会减少安全列表工作者的负担,让真正有安全影响的议题更快得到处理;坏消息是用户可能会面对更多虚假警报或冗余公告,需要依赖更审慎的渠道获取补丁信息。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. 其他大型开源项目是否会跟进 Linux 的做法,修改自己的安全响应流程文档来过滤 AI 生成的重复报告;2. Copilot、CodeQL 等代码安全分析工具是否会推出“补丁历史匹配”功能,以避免同类问题在下个版本中再次爆发;3. 社区是否会出现针对 AI 安全报告的专业评估或去重平台,将“发现漏洞”与“确认漏洞状态”分离,作为更长期的流程改造方向。
