为了应对由AI自动化工具产生的大量低质量安全报告,六大科技巨头——Anthropic、亚马逊(AWS)、GitHub、谷歌、微软和OpenAI——近期向Linux基金会旗下相关项目共计投入了1250万美元资金。此举旨在帮助开源软件维护者减轻筛查负担,使其能够专注于真正的安全威胁。
随着AI技术降低了漏洞发现的门槛,开源社区正面临前所未有的挑战:
- 冗余报告泛滥:大量由AI自动生成的报告涌入维护者手中,虽然数量庞大,但往往缺乏深度且存在大量误报。
- 资源枯竭风险:由于缺乏有效的分类和处理工具,许多项目维护团队(如cURL团队)因应对报告压力过大,不得不终止漏洞奖励计划。
这笔资金将主要投入Linux基金会下的Alpha-Omega项目和开源安全基金会(OpenSSF):
- 技术赋能:开发并推广更实用的安全能力工具,帮助维护者将AI筛查无缝集成到现有工作流程中。
- 流程优化:探索可持续的社区策略,通过技术手段高效分类AI报告,减少干扰正常协作的“噪音”。
Linux内核核心维护者Greg Kroah-Hartman指出,资金本身无法解决所有问题,关键在于如何利用资源支持因AI报告激增而不堪重负的团队。目前,GitHub等平台也在讨论引入类似“紧急刹车”的机制,以防止低质量的AI生成内容淹没正常的开源贡献。
虽然具体实施时间尚未公布,但该举措标志着科技行业开始积极应对AI工具对开源协作生态带来的副作用,旨在提升全球供应链的安全韧性。
