AI 生成安全报告激增的影响
现象
Peter Steinberger 引用 Linux 内核维护者的观察:
内核安全列表的报告数量激增:
| 时间 | 数量 |
|---|---|
| 两年前 | 每周 2-3 个 |
| 去年 | 每周约 10 个 |
| 今年初 | 每天 5-10 个 |
周五和周二似乎是最严重的。
关键特征
- 大多数报告是正确的
- 但全是 AI 生成的 ("AI slop")
- 数量已超出维护者处理能力
影响
资源压力
维护者不得不增加更多人手来处理报告。
项目可持续性
"这会杀死一些开源项目。"
质量与数量的矛盾
- 报告质量高(AI 善于发现漏洞)
- 但数量过多(消耗维护者精力)
- 许多可能是低优先级的
核心洞察
AI 工具降低了发现安全漏洞的门槛,但:
- 大量高质量但低优先级的报告
- 可能消耗维护者全部精力
- 开源项目需要新的流程来处理 AI 生成的贡献
未来挑战
如何平衡:
- 鼓励安全研究
- 不让维护者被报告淹没
- 区分高/低优先级问题
Sources
- Peter Steinberger tweet: https://x.com/steipete/status/2039782190838686088
- Ingested from: AI 简报 2026-04-03