包括Anthropic、AWS、GitHub、Google、微软和OpenAI在内的六家大型科技公司近日共同向Linux基金会相关项目提供总计1250万美元的资助,旨在帮助自由及开源软件(FOSS)项目维护者应对由人工智能工具大量生成的“灌水式”安全漏洞报告压力。
Linux基金会在公告中指出,随着安全形势日益复杂,AI技术正显著提升开源软件漏洞发现的速度与规模,维护者面临前所未有的大量安全问题反馈,其中相当一部分由自动化系统生成,却缺乏相应资源和工具来进行有效分类、筛查和修复。
此次资金将用于支持Linux基金会旗下专注开源供应链安全的Alpha-Omega项目,与开源安全基金会(OpenSSF)共同推进一项新计划。 据介绍,这两个组织将直接与各项目维护者及其社区合作,使新兴安全能力更易获取、更具可操作性,并能融入现有项目工作流程,同时探索可持续策略,既缓解维护者不断增长的安全压力,也增强整个开源生态的韧性。
Linux内核项目核心维护者Greg Kroah-Hartman在基金会公布的评论中坦言,仅靠资助本身并不能解决AI工具给开源安全团队带来的所有问题,但他也强调,OpenSSF已经具备相应的资源,可以通过多个项目支持那些被AI生成安全报告压得不堪重负的维护者,对这类报告进行更高效的分类和处理。
不过,目前有关这项新计划的具体技术路径、实施方式以及时间表,Linux基金会尚未给出进一步细节。
AI生成漏洞报告挤占维护者精力并非新问题。早在2024年底,Python软件基金会就曾公开抱怨类似情况。 此后,广受使用的开源数据传输工具cURL的维护者也因为难以应对大量AI生成的提交与反馈,宣布终止该项目的漏洞奖励计划。
连隶属于微软的GitHub也开始认真考虑如何应对蜂拥而至、质量堪忧的AI生成贡献和拉取请求,并探讨设置某种“紧急刹车”机制,以防此类噪音淹没正常的开源协作流程。