Linux内核维护者Greg Kroah-Hartman警示：AI生成的Bug报告突然集体“变准”，开源世界无人知晓原因

开源世界的维护者们正面临一个集体性的困惑：过去几个月泛滥成灾、被斥为‘AI垃圾’的自动化漏洞报告，在一个月内突然集体‘变准’了。Linux内核核心维护者Greg Kroah-Hartman在KubeCon Europe上透露，近期收到的AI生成的安全报告，大多数已转变为可验证的真实问题，其分析路径清晰、结构合理，质量接近人类开发者水平。这一转变并非Linux独有，而是同步发生在几乎所有主流开源项目中，其背后的原因至今成谜。

就在几个月前，Linux内核团队还在被大量‘AI slop’（AI垃圾）所困扰。这些报告逻辑混乱，描述的漏洞往往不存在，甚至无法对应正确的代码路径，对维护者构成了纯粹的干扰。对于一些规模较小的项目，如Daniel Stenberg主导的cURL，这种干扰曾严重到迫使项目一度暂停Bug赏金计划，因为团队无力甄别海量虚假报告。然而，转折点在一个月前突然降临。Greg Kroah-Hartman描述，仿佛‘某个时间点之后，情况突然就变了’。现在，各大开源项目的安全团队在私下交流中都确认了同一现象：AI提交的报告不再是垃圾，而是高质量、真实有效的安全分析。

更关键的是，无人能解释这场‘AI跃迁’的驱动因素。Greg推测，这可能源于一大批AI工具的能力突然大幅提升，或是多个团队与公司同时在该领域投入了认真的研究。无论原因为何，这场变化正在重塑开源安全生态。AI的角色已不仅限于‘找Bug’，更开始涉足‘修Bug’。整个开源社区正被动地适应一个由AI驱动的、效率与不确定性同步提升的新常态，而维护者们对幕后变化的无知，构成了当前最大的潜在风险。