文章摘要
LWN.net文章指出,内核安全报告数量激增,从两年前的每周2-3份增长到过去一年的每周10份左右。
文章总结
报告数量激增 [LWN.net]
核心内容概述
LWN.net近期发布的一篇文章指出,内核安全团队收到的漏洞报告数量呈现显著增长趋势。主要情况如下:
报告数量变化:
- 两年前:每周2-3份报告
- 过去一年:增至每周约10份(多为AI生成的低质量报告)
- 2026年初至今:每天5-10份(周二和周五数量最多)
新现象:
- 出现重复报告
- 不同研究者使用不同工具发现相同漏洞
- 大多数报告准确有效,促使团队增加维护人员
影响与预测:
- 安全修复方式将发生变革:
- 漏洞披露机制可能取消(因漏洞可被快速发现)
- 安全更新将更注重定期升级而非特定CVE编号
- 软件维护模式需改变,"发布即弃"模式将难以为继
- 软件质量有望提升至2000年前的水平(当时因分发渠道限制,软件需经过更严格测试)
- 安全修复方式将发生变革:
挑战:
- 当前处理速度可能超过新漏洞产生速度
- 预计需经历数年混乱期才能进入新常态
社区讨论要点
与Syzbot的比较:
- 当前Syzbot仍有1300个未解决问题
- 有人担忧这些积压问题可能被利用
改进建议:
- 优先处理需要保密修复的关键漏洞
- 其他漏洞应公开并鼓励社区协作修复
- 现行"披露时提供修复"模式效率低下
实践调整:
- 内核团队已将多数报告转向公开处理
- 维护者响应速度显著提升(多数问题数日内解决)
- OpenSSL等项目的有限保密模式被认可
(注:原文中的网站导航栏、用户登录等非主要内容已省略,保留技术讨论核心信息)
评论总结
以下是评论内容的总结:
AI工具导致漏洞报告激增
- 内核安全列表的漏洞报告从每周2-3个激增至每天5-10个,且大部分报告正确(评论1引用:"we're around 5-10 per day...most of these reports are correct")。
- 有人认为这是AI工具加速了历史漏洞的发现,未来可能帮助减少新漏洞(评论2引用:"bugs are reported faster than they are written...purge a long backlog")。
软件质量与历史对比的争议
- 有观点认为2000年前的软件因严格测试而质量更高(评论3引用:"before 2000...had to survive an amazing quantity of tests")。
- 反对者认为当前问题更复杂,攻击更 sophisticated(评论9引用:"Everything is getting worse...attacks are getting substantially more sophisticated")。
对AI作用的矛盾态度
- 乐观派认为AI可能最终帮助创建无漏洞软件(评论7引用:"AI helps create bug free software")。
- 怀疑派认为AI缺乏数据支持,可能是炒作(评论4引用:"no gathered data backing these points up")。
漏洞类型与工具改进建议
- 呼吁分析漏洞类型以针对性改进工具(评论11引用:"what class of vulnerability...deterministic tool could reliably find")。
- 提议用贡献者信誉系统(如PageRank)筛选代码质量(评论10引用:"pagerank github contributors")。
供应链攻击的担忧
- 安全工具可能被用于供应链攻击,形成两难(评论12引用:"same tools...behind the supply chain attacks")。
数据支持与趋势观察
- 实际CVE数量超过预测,可能与LLM增加漏洞编写和发现有关(评论6引用:"higher rate of CVEs...LLMs increase bugs written as well as discovered")。
(注:评论5、8为引用补充,未纳入观点总结。)