Linux基金会近日宣布,包括Anthropic、AWS、GitHub、Google、微软和OpenAI在内的六家科技公司将向其相关项目提供总计1250万美元资助,目标是缓解自由及开源软件(FOSS)维护者在安全漏洞处理上遭遇的AI“灌水式”报告压力。
基金会在公告中指出,安全形势愈发复杂,AI工具显著提升了漏洞发现的速度与数量,大量反馈由自动化系统生成。维护者在缺乏匹配资源和工具的情况下,需要投入大量精力进行筛查和验证,正常工作流程受到挤压。
这笔资金将用于支持Linux基金会旗下专注开源供应链安全的Alpha-Omega项目,并与开源安全基金会(OpenSSF)合作推进一项新计划。双方将直接与各项目维护者及其社区协作,尝试把新兴安全能力嵌入现有工作流程,提升报告分类与处置的可操作性,同时探索更可持续的安全策略,以减轻维护者压力并增强开源生态的韧性。
Linux内核核心维护者Greg Kroah-Hartman在评论中表示,仅靠资助本身无法解决AI工具带来的全部安全管理问题,但OpenSSF已经积累了一定资源,可以通过多个项目为被AI生成报告压得不堪重负的团队提供支持,帮助更高效地分类和处理此类报告。
AI生成漏洞报告挤占维护者精力并非新现象。2024年底,Python软件基金会曾公开表达对类似问题的担忧。随后,广泛使用的开源数据传输工具cURL的维护者因难以应对大量AI生成的提交与反馈,宣布终止该项目的漏洞奖励计划。隶属于微软的GitHub也开始讨论如何应对质量参差不齐的AI生成贡献和拉取请求,并研究设置“紧急刹车”机制,防止噪音淹没正常协作。
