AI是否加速Linux漏洞發現受關注,OpenSSF專家稱約三成漏洞通報為重複案例
AI工具導致Linux安全郵件清單嚴重過載
Linux核心創辦人林納斯·託瓦茲(Linus Torvalds)近期公開警告,大量研究人員使用AI工具搜尋漏洞,導致Linux安全郵件清單幾乎完全失控。他指出,重複通報的漏洞數量遠超實際新發現的漏洞,使維護團隊難以有效處理。
OpenSSF專家指出約三成漏洞為重複案例
根據OpenSSF專家分析,目前通報至Linux安全清單的漏洞中,約有三成為重複案例,顯示AI工具在漏洞發現與通報過程中存在大量重複與誤判問題。
AI加速漏洞發現但效率與品質受質疑
儘管AI工具大幅提升了漏洞發現的效率,例如Mozilla、微軟與GitHub已將AI導入漏洞研究與程式碼掃描,但專家仍提醒,AI可能出現誤判,且缺乏對漏洞嚴重性與影響範圍的深度判斷,導致維護團隊需投入大量時間篩選與驗證。
相關案例與風險
- Dirty Frag漏洞:涉及CVE-2026-43284與CVE-2026-43500,攻擊者若能在受影響系統上執行程式,可能從低權限帳號提升至root權限,進一步取得伺服器控制權。
- AI輔助通報加速風險揭露:Oracle等企業已觀察到AI輔助通報可加速風險揭露與修補,但同時也面臨維護團隊處理負擔過重的挑戰。
目前多個開源社群正積極評估AI在漏洞發現中的角色,並探索如何建立更有效的通報與驗證機制,以平衡效率與品質。