人工智慧正以前所未有的規模湧入開源安全生態系統,其中以 linux 核心專案承受的衝擊最大。在最新的核心狀態更新中,林納斯·托瓦茲直言不諱地表示:目前的安全郵件列表幾乎已崩潰——大量雷同的漏洞報告如潮水般湧入,源自不同使用者使用同一款人工智慧工具,反覆掃描相同的程式碼路徑,並機械式地提交發現,完全缺乏情境判斷與版本驗證。
這不僅僅是「報告過載」;更是維護者信任機制的崩壞。越來越多貢獻者將人工智慧視為全自動的修補程式產生器或漏洞偵測工具,跳過了理解根本原因、重現問題情境、以及評估影響範圍等關鍵步驟。結果便是大量低訊號雜訊比的報告堵塞了處理隊列:早已修復的長久缺陷被一再報告,邊緣性的假陽性也被當作高嚴重性漏洞提交,甚至出現了尚未經證實的「幻覺式漏洞」。
這個問題在像 linux 核心這樣高度迭代、多分支的專案中尤為嚴重。僅僅在發佈候選版本(rc)後的幾週內,相關缺陷往往已經被合併並修復;然而,由人工智慧驅動的批量掃描卻無法跟上這種動態演變,導致數月前的修補程式被一再標示為新漏洞,令維護團隊應接不暇。托瓦茲尖銳地指出:「人工智慧的價值不在於製造噪音,而在於增強人類的判斷力——如果某個工具的輸出非但沒有節省精力,反而消耗更多審查時間,那麼它就不是幫忙,而是負擔。」
他再次強調一個核心原則:使用人工智慧可以,但責任必須放在首位。遇到疑似問題時,務必先查看變更記錄,對照最新候選版本,並手動重現問題以確認。若確實是尚未修復的缺陷,應優先提交可行的修補程式,而非僅僅附上一句「人工智慧偵測到潛在問題」的註記。所有提交都應體現人類的思考——提供觸發路徑、影響範圍、測試方法的詳細說明,或對人工智慧建議進行評估的理由。真正的協作始於尊重他人時間,而非讓共識被自動化所淹沒。
