在 KubeCon 欧洲大会上,《The Register》采访了 Greg Kroah-Hartman,他负责维护 Linux 内核的稳定分支和测试分支,并担任 16 个内核子系统的维护者。采访探讨了 Kroah-Hartman 处理 AI 驱动的错误报告的方法。目前,内核已使用 AI 来审查网络子系统、eBPF 和 DRM 的变更,并且最近还集成了 Google 的 Sashiko 工具来审查提交的变更。
格雷格的一些语录:
- “几个月前,我们收到的都是所谓的AI垃圾——AI生成的安全报告明显错误或质量低劣。这甚至有点滑稽。我们当时并没有特别担心……一个月前,发生了一些事情,情况发生了巨大变化。现在我们收到的是真正的报告。”
- “这种情况并非Linux独有——所有开源项目都在接收由人工智能生成的真实报告,而且这些报告现在质量很高,也很有效。主要开源项目的安全团队在非正式讨论中也注意到了同样的趋势。”
- 当被问及造成这种情况的原因时,格雷格回答说:“我们不知道。似乎没人知道。要么是很多工具都改进了很多,要么是人们开始说,‘嘿,我们来解决这个问题吧。’这似乎影响了很多不同的团队和公司。就核心团队而言,我们能够应对。我们的团队规模扩大了很多,成员分布很广,而且我们的增长是实实在在的,并且没有放缓的迹象。这些都是小问题,没什么大不了的,但所有开源项目都需要在这方面得到一些帮助。规模较小的项目更难应对突然涌入的大量由人工智能生成的、提及真正漏洞而非无用信息的漏洞报告。”
- 格雷格解释说,当他让AI在拟议的变更日志中查找错误时,它找到了60个错误并提供了相应的补丁。虽然找到的错误中只有三分之一是真正的错误,补丁中也只有三分之二是正确的且无需任何修改,但这远非毫无用处。格雷格认为,维护人员不能忽视这一点,尤其是在AI的检测结果越来越好的情况下。“共同开发:”标签已被添加,用于标记使用AI创建的补丁。尽管有人尝试使用AI来创建新功能,但AI在核心功能中主要用于变更审查。
- 人工智能最显著的优势之一是缩短了补丁处理时间。当人工智能助手识别出明显的问题时,补丁作者会在人工维护人员阅读补丁之前很久就收到反馈:“如果我看到系统对某些内容做出反应,它能比维护人员更快地向作者提供反馈,这非常棒。我们已经有一些机器人来检查补丁。如果我注意到它们抛出错误,作为维护人员,我立刻明白我甚至不需要查看它。而开发者会想,‘哦,我明天可以发布一个不同的版本’,这有助于改进反馈循环。”
来源: opennet.ru
