Hacker News 中文摘要

RSS订阅

内核漏洞平均隐藏2年,部分潜伏长达20年 -- Kernel bugs hide for 2 years on average. Some hide for 20

原文链接 | HN讨论 | 2026-01-08 13:59:52

文章摘要

研究发现Linux内核漏洞平均潜伏2.1年才被发现,部分子系统如CAN总线驱动漏洞潜伏期达4.2年。最长寿的漏洞是ethtool缓冲区溢出,潜伏20.7年。研究者开发的新工具能在提交时检测出92.2%的历史漏洞,误报率仅1.2%,远优于传统方法。近年来漏洞发现速度明显提升,2022年69%的漏洞在1年内被发现,而2010年这一比例为零。

文章总结

Linux内核漏洞平均潜伏2.1年,部分漏洞隐藏长达20年

通过对Linux内核20年git历史中125,183个带有可追溯Fixes:标签的漏洞分析,研究人员发现:

核心发现: - 平均每个内核漏洞在被发现前已存在2.1年 - CAN总线驱动(4.2年)和SCTP网络协议(4.0年)是漏洞潜伏最久的子系统 - 寿命最长的漏洞是ethtool中的缓冲区溢出漏洞,潜伏20.7年 - 2010年引入的漏洞平均需9.9年发现,2022年引入的漏洞仅需0.8年

研究方法: - 利用Fixes:标签追溯漏洞引入和修复的提交记录 - 开发VulnBERT模型,在测试集上实现92.2%的召回率和1.2%的误报率 - 结合代码模式识别(CodeBERT)与51个手工特征(内存管理、引用计数等)

关键洞见: 1. 漏洞检测速度显著提升:1年内发现的漏洞比例从2010年的0%升至2022年的69% 2. 仍有大量历史漏洞积压:2024-2025年修复的漏洞中,6.5%已存在10年以上 3. 竞态条件最难发现(平均5.1年),因其非确定性触发特性

典型案例: - netfilter引用计数泄漏漏洞(潜伏19年) - ethtool缓冲区溢出漏洞(潜伏20.7年) - 30%的漏洞由原始引入者自行修复

模型创新: - 分块编码处理长差异文件 - 通过交叉注意力融合神经网络与手工特征 - 使用焦点损失处理样本不平衡问题

局限性与展望: - 仅覆盖28%使用规范标签的修复提交 - 未来计划与Syzkaller集成,开发子系统专用模型 - 目标是为代码审查提供风险排序,而非完全替代人工审核

(完整数据集和工具见github.com/quguanni/kernel-vuln-data)

评论总结

以下是评论内容的总结:

  1. 关于代码审查的重要性

    • 观点:开源审查有助于发现和修复bug
    • 引用:
      "Imagine if no one outside a select circle ever got to examine the code."(esseph)
      "Firefox bugs stay in the open for that long."(sedatk)

  2. 内核设计的批评

    • 观点:UNIX单体内核设计已过时,现代系统应采用更安全的微内核架构
    • 引用:
      "The monolithic UNIX kernel was a good design in the 60s; Today, we should know better."(snvzz)
      附参考链接:seL4和Genode项目

  3. 语言限制与工具改进

    • 观点:多数bug源于语言局限性,但简单启发式方法能显著改进模型
    • 引用:
      "most bugs effectively come from the limitations of the language."(eulgro)
      "Hopefully this tool will be made available to the kernel developers."(eulgro)

  4. Rust语言的局限性

    • 观点:Rust虽能解决内存安全问题,但对逻辑错误和硬件假设错误无效
    • 引用:
      "Rust is fantastic for memory safety, but it will not stop you from misunderstanding the spec of a network card."(Fiveplus)
      "if we eliminated the 70% of bugs that are memory safety issues, the SNR ratio...would improve."(Fiveplus)

  5. 数据偏差与局限性

    • 观点:研究数据存在偏差,仅28%的修复提交被统计,且不同子系统bug修复速度不同
    • 引用:
      "Only captures bugs with Fixes: tags (~28% of fix commits)."(silversun)
      "many bugs will not be detected, but they will be removed when the code is rewritten."(dpc      01234)

  6. 界面功能问题

    • 观点:网页显示存在缺陷,如时间戳和提交哈希未正确链接
    • 引用:
      "the times look like hyperlinks but aren’t...the commit hashes don’t link to the actual commit."(NewsaHackO)

总结保持了对不同观点的平衡呈现,每个观点精选2-3条代表性评论,并保留了中英文关键引用。