一个月突变，Linux内核大佬懵了：上个月还是“AI垃圾”，这个月AI Bug报告却突然靠谱？

最近在做开源项目维护的开发者，可能会有一种奇怪的错觉：Bug 似乎报告变多了，而且变准了——更准确地说，是 AI 报的 Bug，突然开始“靠谱了”。

这不是个别项目的偶然现象，而是一场几乎同步发生在整个开源世界的变化。在最近的 KubeCon Europe 上，Linux 内核核心维护者 Greg Kroah-Hartman 给出了一个让人有点不安的信息：

“大概一个月前，像是有什么东西变了。现在我们收到的 AI 报告，都是真正有价值的 Bug 报告。”

可问题是——没人知道发生了什么。

从“AI 垃圾”到“真实报告”，只用了一个月

Greg 回忆说，就在几个月前，Linux 内核团队还在被一类东西“骚扰”：“我们当时把它叫做 AI slop（AI 垃圾）。”

这些由 AI 生成的安全报告，大多存在明显问题：逻辑不成立、漏洞不存在、描述混乱，甚至连基本的代码路径都对不上。对维护者来说，它们更像是一种干扰，而不是帮助。

好在 Linux 内核维护者团队规模庞大，这类干扰尚可承受。但对于一些小项目来说，情况就没那么乐观了：比如 Daniel Stenberg 主导的 cURL 项目，就因为 AI 垃圾报告泛滥，一度直接停止了 Bug 赏金计划，因为根本无力甄别真假。

但转折点突然出现——Greg 的描述很直接：“某个时间点之后，情况突然就变了。”

现在的情况是：

● AI 提交的 Bug 报告，大多数是可验证的真实问题；

● 报告结构更清晰，分析路径更合理；

● 不再是“胡乱猜测”，而是接近人类开发者水平的安全分析。

更重要的是，这并非 Linux 独有现象。

“所有开源项目都开始收到 AI 生成的高质量、真实有效报告，不再是以前的垃圾内容。”Greg 表示，各大主流开源项目的安全团队平时会频繁私下交流，大家都观察到了同样的转变：“现在所有开源安全团队都在经历这件事。”

当被问到“到底是什么改变了”时，他的回答非常直接：“不知道，真的没人知道。”

Greg 推测，要么是一大批AI工具突然大幅变强，要么是很多人开始认真研究这块了，似乎有很多不同团队、不同公司在同时发力。

但无论原因是什么，可以确认的一点是：整个开源安全生态，正在同步经历这场“AI 跃迁”。

不只是找 Bug，AI 已经开始“修 Bug”

变化还不止于此。目前在 Linux 内核中，AI 的主要角色仍集中在代码审查（code review）阶段，少量用于生成 patch，很少直接用于写核心代码。但 Greg 表示：“对于一些简单问题（比如错误处理逻辑），AI 已经可以生成‘几十个可用 patch’。”

Greg 举了个实际例子：他曾用一个非常简单甚至“随意”的提示，让 AI 分析代码并给出修复方案，结果 AI 一口气给出了 60 个问题及对应 patch。其中大约三分之一是错的——但即便是错的，它们也指向了某种真实风险。而剩下的三分之二，则是可以直接工作的修复方案。

当然，这些 patch 并不能直接合入，还需要人工进行整理、补充变更说明、以及代码集成，可重点在于：这证明它们已经不是“没用的 AI 垃圾”，而是“可用的半成品”。

正如 Greg 所说：“这些工具效果很不错，我们不能忽视，它正在快速发展，而且越来越强。”

Linux 开始“反向武装 AI”，提高速度

随着 AI 生成内容激增，一个新的问题也出现了：人类维护者开始“看不过来了”。

为此，Linux 社区开始反向引入 AI 来解决问题。有一个关键工具是 Sashiko，由 Google 开发，后捐赠给 Linux 基金会。它的目标很明确：在 patch 进入人工审查前，先进行一轮 AI 预审。

与此同时，各个子系统也在积累自己的“AI 审查经验”。“不同子系统会针对性优化能力与提示词 —— 比如存储模块该关注哪些点、图形模块该关注哪些点。大家都在公开社区里贡献优化方案，这才是正确的方式，非常好。”

Greg 还提到，现就职于 Meta 的资深内核开发者 Chris Mason，率先开创了基于 AI 的审查工作流，已经在 eBPF 和网络模块运行了很久；systemd 项目也在其纯 C 代码库中使用同类工具。

不过他也强调，AI 审查是补充而非替代人工：“在审查方面，AI 能给出不少优质意见，但没法覆盖所有情况，有些结论依然错误。不过很多显而易见的问题都能被它指出来。”

毕竟整体而言，AI 审查的真正价值，其实并不完全在“是否正确”，而在于——它足够快。

在传统流程中，一个 patch 从提交到被维护者看到，可能需要数天甚至更久。而 AI 可以在几分钟内给出初步反馈。这将带来连锁反应：开发者可以更快修正问题、提交新版本；明显有问题的 patch 可以被提前过滤；维护者则可以把精力集中在更复杂的决策上。

某种意义上，AI 让代码审查从“排队等待”，变成了“即时反馈”。

但代价也很现实：工作量在增加

听起来一切都在变好，但 Greg 的总结却很克制：“我们要 review 的东西，变多了。”

AI 降低了参与门槛，也提高了“内容看起来合理”的程度，这直接导致输入量激增。对于 Linux 这样的大项目，这还在可承受范围内。但对于中小型开源项目来说，这种增长可能是压垮性的。

因此，像 OpenSSF、Alpha-Omega 等安全项目正在尝试提供更多工具，帮助维护者应对这波“AI 输入洪流”。

因此，对于所有开源维护者来说，真正的挑战已经不再是“是否使用 AI”，而是：如何在不被淹没的前提下，把 AI 变成生产力。而从目前的趋势来看，这场关于 AI 的“基础设施竞赛”，才刚刚开始。

参考链接：https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/

本文来自微信公众号“CSDN”，整理：郑丽媛，36氪经授权发布。