%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
爲了應對由 AI 自動化工具生成的海量低質安全報告,Anthropic、亞馬遜(AWS)、GitHub、谷歌、微軟和 OpenAI 六家科技巨頭近日向 Linux 基金會相關項目提供了總計 1250 萬美元的資助。該資金旨在幫助開源軟件(FOSS)維護者從繁重的篩查工作中解脫,專注於真正的安全威脅。
隨着 AI 技術降低了漏洞發現的門檻,開源社區正面臨前所未有的挑戰:
灌水式報告:大量由 AI 自動生成的報告涌向維護者,雖然規模巨大,但往往缺乏深度,甚至包含大量誤報。
資源枯竭:由於缺乏有效的分類和處理工具,許多項目維護者(如 cURL 團隊)因無法承受處理壓力,甚至被迫終止了漏洞獎勵計劃。
這筆資金將主要投入到 Linux 基金會旗下的 Alpha-Omega 項目與開源安全基金會(OpenSSF):
技術賦能:開發並推廣更具操作性的安全能力工具,使維護者能將 AI 篩查自動融入現有的工作流程。
流程優化:探索可持續的社區策略,通過技術手段對 AI 報告進行高效分類,減少“噪音”對正常協作流程的干擾。
Linux 內核核心維護者 Greg Kroah-Hartman 指出,僅靠金錢無法解決所有問題,關鍵在於如何利用資源支持那些“被 AI 報告壓垮”的團隊。目前,GitHub 等平臺也在探討設置類似“緊急剎車”的機制,以防止質量堪憂的 AI 生成內容淹沒正常的開源貢獻。
儘管具體的實施時間表尚未公佈,但這一舉措標誌着科技行業開始正面解決 AI 工具給開源協作生態帶來的副作用,旨在增強全球供應鏈的安全韌性。