5月17日,Linux之父Linus Torvalds在每周内核状态更新中抛出一枚重磅炸弹:安全邮件列表“几乎完全无法管理”。这不是一句普通抱怨,而是全球最成熟开源安全流程的病危通知。运行二十多年的私密报告机制,扛过了国家级APT渗透和无数次零日风暴,如今却被AI生成的“智能垃圾”活活压垮。Linus点名了罪魁祸首——不是AI工具本身,而是那些用AI批量扫描代码、发现相同漏洞后重复提交的人。他称之为“毫无意义的痛苦和假装工作”。
问题的根源在于AI漏洞猎手们用同一把刀砍同一棵树。Syzbot这类模糊测试工具早已存在,但近两年LLM辅助检测能力爆发式增长,门槛骤降。大量安全赏金猎手开始用AI扫描内核代码,而大家用的工具大同小异,扫出的漏洞也高度雷同。同一个bug被不同人用不同AI工具发现,然后分别塞进专用安全邮件列表。维护者打开邮箱,十封报告说的是同一件事,再打开又是十封。更荒诞的是,这些AI发现的bug大多在公开代码里用公开工具就能找到,根本不需要走私密安全流程。私密流程的设计初衷是处理真正敏感的零日漏洞,现在却沦为了垃圾场。维护者的时间被大量消耗在筛选重复项上,真正危险的漏洞反而可能被埋在噪声中。
Linus Torvalds本人并不反对使用AI,他直言“随意使用它们,但要用得有成效,能带来更好的体验”。问题在于,AI将发现漏洞的边际成本降至零,而修复漏洞仍需要人类工程师坐下来读几千行代码、理解模块依赖、写出不引入新bug的补丁。发现与修复之间的鸿沟被AI撕成了深渊。所谓的“过客式报告”成为一种电子泔水冲击信息安全,顶级维护者必须动用最昂贵的认知资源去证明一份AI生成的垃圾报告确实是垃圾。零成本的发现与高成本的审计,这种信息不对称正在制造恐怖的“认知DDoS攻击”。当AI没有增加任何“人类增量”时,它制造的就不是贡献,而是熵增。
放眼整个行业,今年4-5月被安全专家称为AI信息安全的“水门事件级”窗口。攻方落地、守方应急、噪音失控、治理失灵四件事在30天内同时爆发。Anthropic主动封印了强大到必须送进末日火山的Claude Mythos模型——它能将多个低严重性漏洞串联成高危利用,而此前前沿模型最多止步于“有趣的漏洞”。Cloudflare首席信息安全官Grant Bourzikas坦承,Mythos在测试中表现过于强大,发布前必须增加额外防护。这绝非危言耸听,当AI的产出速度正面击穿人类协作系统时,我们需要重新思考:在AI时代,什么才是真正的贡献?对于AI从业者而言,不要做只会跑工具的“报告机器”,而是要在AI发现的基础上增加人类洞察,否则你制造的不是安全,而是灾难。