漏洞回報量顯著增加
自動化工具與人工智慧驅動的漏洞回報量激增,正在終結安全封鎖期的時代,並迫使軟體開發轉向持續維護與即時修補的模式。
背景
這篇討論源於 Linux 核心維護者 Willy Tarreau 在 LWN.net 上的觀察,指出近期核心安全漏洞報告數量出現了前所未有的激增。從過去每週僅有數件,到現在每日可達五至十件,且報告品質已從早期的「AI 垃圾資訊」轉變為具備實際修復價值的正確報告,這顯示自動化工具與人工智慧在漏洞挖掘領域已產生實質影響。
社群觀點
針對漏洞報告激增的現象,社群內部的看法呈現兩極化。支持者認為這是一個「清理積壓債務」的契機,隨著 AI 工具的普及,發現漏洞的速度可能已經超越了編寫漏洞的速度。有觀點指出,如果這些工具能被整合進開發流程的預審階段,例如 Andrew Morton 嘗試將 Sashiko 工具納入記憶體管理子系統的提交要求,將能從源頭提升程式碼品質。此外,部分開發者樂觀地預期,這將迫使軟體產業回歸到 2000 年代以前的嚴謹態度,當時因為軟體透過實體媒介分發,修復成本極高,開發者必須在發布前進行極其詳盡的測試,而非像現在依賴網路快速更新來修補漏洞。
然而,質疑的聲音也相當強烈。部分留言者認為這種樂觀情緒近乎「幻想」,指出目前的趨勢是攻擊手段變得更精密、影響範圍更廣,且開發者正被海量的報告淹沒。有人批評這種對 AI 改善軟體品質的期待缺乏數據支持,甚至懷疑這只是 AI 擁護者的過度吹捧。針對「過去軟體品質更好」的論點,也有資深開發者反駁,認為 90 年代的軟體雖然在底層邏輯上較為嚴謹,但當時的攻擊面較小且網路連接不普及,一旦連上網路,舊時代的系統其實漏洞百出。
在技術層面上,社群共識傾向於認為記憶體安全是核心問題。約有七成的安全漏洞源於 C 和 C++ 的記憶體管理錯誤,Google 的研究也證實,改用 Rust 等記憶體安全語言編寫新程式碼,能比單純修補舊程式碼更有效地降低漏洞數量。此外,漏洞報告的處理機制也面臨變革,傳統的「禁運期」制度在 AI 快速發現漏洞的時代已顯得不合時宜,因為隱藏資訊已失去意義,社群更傾向於採取快速修復並直接發布的透明模式,以減少使用者暴露在風險中的時間。