大型語言模型生成的安全報告正推動 Linux 核心程式碼的移除

背景

這場討論源於 Linux 核心社群近期因應大量由大型語言模型（LLM）生成的安全報告，決定移除部分長期缺乏維護的舊代碼。隨著 AI 工具在漏洞挖掘上的效率大幅提升，許多鮮為人知的驅動程式與過時協議成為安全風險的溫床，迫使核心維護者在維護成本與安全性之間做出取捨。

社群觀點

針對核心代碼的移除，社群內普遍認為這是一種必然的「技術債清理」。許多開發者指出，這些被移除的代碼（如 ISDN 或 PCMCIA 驅動）大多已無人熟悉，且近年來的修補幾乎全依賴靜態分析工具，而非真實使用者的回饋。與其讓這些未經審核的代碼成為駭客進入系統的後門，不如將其移出核心。支持者認為，這就像 CPython 縮減標準函式庫一樣，能減輕維護負擔並提升整體安全性。雖然有意見擔憂這會影響工業設備或老舊硬體的相容性，但反對者反駁，要求志願者無償為企業的長青設備承擔維護成本並不合理，且若真的有需求，使用者仍可透過舊版核心或自行編譯模組來解決。

關於 AI 在此過程中扮演的角色，討論呈現兩極化。部分資深開發者對 LLM 生成的報告持懷疑態度，認為這些工具常產生大量「看似合理但實際錯誤」的虛假報告（False Positives），若不加過濾地提交，簡直是社交層面的攻擊，浪費維護者的精力。然而，另一派觀點則認為 AI 技術已跨越門檻，特別是像 Anthropic 的 Claude Mythos 等模型，在 Firefox 或 FreeBSD 的審計中已展現出超越一般開發者的漏洞發現能力。專業的安全研究員指出，LLM 雖然會產生噪音，但在追蹤記憶體安全問題（如 UAF 或緩衝區溢位）上極具效率，能大幅縮短從發現漏洞到開發漏洞利用鏈的時間。

最後，社群也反思了開源生態的失衡。有人批評，目前業界投入大量資金研發 AI 來尋找漏洞，卻不願投入相應的資源聘請人類開發者來修復這些問題。這種「只管拆除、不管修繕」的現狀，讓安全性變成了一種「把壞掉的收音機變成磚頭」的消極防禦。有開發者建議，未來應建立更完善的模組維護指標，讓發行版能根據維護狀態決定是否預裝特定模組，而非一刀切地從原始碼樹中刪除。

延伸閱讀

• Mozilla 官方部落格：關於使用 Claude Mythos 發現 Firefox 漏洞的詳細報告。
• LWN.net 相關文章：探討 AI 報告對核心維護流程的影響。
• curl 維護者 Daniel Stenberg 的觀察：分享 LLM 報告對開源專案帶來的挑戰與機會。
• Anthropic 官方新聞稿：關於 AI 在安全審計領域的應用進展。