一個月突變！Linux 核心大師驚呆：上個月還是「AI 垃圾」，這個月 AI Bug 報告竟突然靠譜了？

最近在維護開源專案的開發者可能會有一種奇妙的錯覺：Bug 報告似乎變多了，而且變得更精準了——更準確地說，是由 AI 提交的 Bug 報告，突然開始「靠譜」了。

這並非個別專案的偶然現象，而是一場幾乎同步發生在整個開源世界的變革。在最近的 KubeCon Europe 上，Linux 核心核心維護者 Greg Kroah-Hartman 透露了一個令人不安的消息：

「大約一個月前，似乎有什麼東西改變了。現在我們收到的 AI 報告，全都是真正有價值的 Bug 報告。」

但問題在於——沒有人知道究竟發生了什麼。

Greg 回憶道，就在幾個月前，Linux 核心團隊還在被一類東西「騷擾」：「我們當時稱之為 AI slop（AI 垃圾）。」

這些由 AI 生成的安全報告大多存在明顯問題：邏輯不通、漏洞不存在、描述混亂，甚至連基本的程式碼路徑都對不上。對於維護者來說，這更像是一種干擾，而非幫助。

好在 Linux 核心維護團隊規模龐大，這類干擾尚在可承受範圍。但對於小型專案來說，情況就沒那麼樂觀：例如 Daniel Stenberg 主導的 cURL 專案，就因為 AI 垃圾報告泛濫，一度直接停止了 Bug 獎金計畫，因為根本無法甄別真偽。

但轉折點突然出現——Greg 的描述非常直接：「在某個時間點之後，情況突然就變了。」

現在的情況是：

● AI 提交的 Bug 報告，大多數是可驗證的真實問題；

● 報告結構更清晰，分析路徑更合理；

● 不再是「胡亂猜測」，而是接近人類開發者水準的安全分析。

更重要的是，這並非 Linux 獨有現象。

「所有開源專案都開始收到 AI 生成的高品質、真實有效的報告，不再是以前的垃圾內容。」Greg 表示，各大主流開源專案的安全團隊平時會頻繁私下交流，大家都觀察到了同樣的轉變：「現在所有開源安全團隊都在經歷這件事。」

當被問到「到底是什麼改變了」時，他的回答非常直接：「不知道，真的沒有人知道。」

Greg 推測，要麼是一大批 AI 工具突然大幅強化，要麼是許多人開始認真研究這個領域，似乎有許多不同團隊、不同公司在同時發力。

但無論原因為何，可以確認的一點是：整個開源安全生態，正在同步經歷這場「AI 躍遷」。

變化還不止於此。目前在 Linux 核心中，AI 的主要角色仍集中在程式碼審查（code review）階段，少量用於生成補丁（patch），很少直接用於編寫核心程式碼。但 Greg 表示：「對於一些簡單問題（例如錯誤處理邏輯），AI 已經可以生成『數十個可用 patch』。」

Greg 舉了一個實際例子：他曾使用一個非常簡單甚至「隨意」的提示（prompt），讓 AI 分析程式碼並給出修復方案，結果 AI 一口氣給出了 60 個問題及對應 patch。其中大約三分之一是錯誤的——但即便錯誤，它們也指向了某種真實風險。而剩下的三分之二，則是可以直接運行的修復方案。

當然，這些 patch 不能直接合併，仍需要人工進行整理、補充變更說明以及程式碼集成。但重點在於：這證明它們已不再是「沒用的 AI 垃圾」，而是「可用的半成品」。

正如 Greg 所說：「這些工具效果很不錯，我們不能忽視，它正在快速發展，而且越來越強。」

隨著 AI 生成內容激增，一個新問題也隨之而來：人類維護者開始「看不過來了」。

為此，Linux 社群開始反向引入 AI 來解決問題。其中一個關鍵工具是 Sashiko，由 Google 開發後捐贈給 Linux 基金會。它的目標很明確：在 patch 進入人工審查前，先進行一輪 AI 預審。

與此同時，各個子系統也在累積自己的「AI 審查經驗」。「不同子系統會針對性優化能力與提示詞 —— 比如儲存模組該關注哪些點、圖形模組該關注哪些點。大家都在公開社群裡貢獻優化方案，這才是正確的方式，非常好。」

Greg 還提到，現職於 Meta 的資深核心開發者 Chris Mason，率先開創了基於 AI 的審查工作流，已在 eBPF 和網路模組運行許久；systemd 專案也在其純 C 程式碼庫中使用同類工具。

不過他也強調，AI 審查是補充而非替代人工：「在審查方面，AI 能給出不少優質意見，但沒法覆蓋所有情況，有些結論依然錯誤。不過很多顯而易見的問題都能被它指出來。」

畢竟整體而言，AI 審查的真正價值，其實並不完全在於「是否正確」，而是在於——它夠快。

在傳統流程中，一個 patch 從提交到被維護者看到，可能需要數天甚至更久。而 AI 可以在幾分鐘內給出初步回饋。這將帶來連鎖反應：開發者可以更快修正問題、提交新版本；明顯有問題的 patch 可以被提前過濾；維護者則可以把精力集中在更複雜的決策上。

某種意義上，AI 讓程式碼審查從「排隊等待」變成了「即時回饋」。

聽起來一切都在變好，但 Greg 的總結卻很克制：「我們要審查（review）的東西，變多了。」

AI 降低了參與門檻，也提高了「內容看起來合理」的程度，這直接導致輸入量激增。對於 Linux 這樣的大型專案，這還在可承受範圍內。但對於中小型開源專案來說，這種增長可能是壓垮性的。

因此，像 OpenSSF、Alpha-Omega 等安全專案正在嘗試提供更多工具，幫助維護者應對這波「AI 輸入洪流」。

因此，對於所有開源維護者來說，真正的挑戰已經不再是「是否使用 AI」，而是：如何在不被淹沒的前提下，把 AI 變成生產力。而從目前的趨勢來看，這場關於 AI 的「基礎設施競賽」才剛剛開始。