Linux基金會啟動項目保護開源維護者免受AI垃圾報告困擾

六家大型科技公司共同提供了1250萬美元的資助，用于幫助開源項目維護者應對AI生成的垃圾漏洞報告。

Linux基金會在公告中解釋道："隨著安全形勢變得更加復雜，AI的進步正在大幅提高開源軟件漏洞發現的速度和規模。維護者現在面臨著前所未有的安全發現涌入，其中許多是由自動化系統生成的，但他們卻沒有足夠的資源或工具來有效地分類和修復這些問題。"

Anthropic、AWS、GitHub、谷歌、微軟和OpenAI決定提供幫助，共同為該項目投入1250萬美元。

Linux基金會旗下致力于改善開源供應鏈安全的Alpha-Omega項目將與開源安全基金會（OpenSSF）共同運營這一新計劃。

據介紹，這兩個組織"直接與維護者及其社區合作，使新興的安全能力變得易于訪問、實用，并與現有的項目工作流程保持一致。"此外："該計劃將支持可持續的策略，幫助維護者管理日益增長的安全需求，同時提高開源生態系統的整體韌性。"

Linux基金會的公告中引用了Linux內核項目的Greg Kroah-Hartman的一段話，開頭寫道："僅靠資助并不能解決AI工具今天給開源安全團隊帶來的問題。"

不過不必擔心，GKH并沒有否定這個想法。這段話接著說："OpenSSF擁有支持眾多項目所需的活躍資源，這將幫助這些過度勞累的維護者對他們目前收到的越來越多的AI生成的安全報告進行分類和處理。"

目前尚未透露該項目的具體實施內容和時間表。

AI生成的漏洞報告淹沒開源軟件維護者的問題并不新鮮。Python軟件基金會在2024年底就對此提出過抱怨。最近，流行的開源數據傳輸工具cURL的維護者因大量AI生成的貢獻帶來的困難而終止了該項目的漏洞賞金計劃。

就連微軟的GitHub也曾考慮對涌入開源軟件項目的大量低質量AI生成貢獻采取措施。

Q&A

Q1：Linux基金會啟動的這個項目是為了解決什么問題？

A：該項目旨在幫助開源項目維護者應對AI自動化系統生成的大量漏洞報告。隨著AI技術的發展，開源軟件漏洞發現的速度和規模大幅增加，維護者面臨前所未有的安全報告涌入，但缺乏足夠的資源和工具來有效分類和修復這些問題。

Q2：哪些科技公司為這個項目提供了資助？

A：Anthropic、AWS、GitHub、谷歌、微軟和OpenAI這六家大型科技公司共同為該項目提供了1250萬美元的資助。該項目將由Linux基金會的Alpha-Omega項目與開源安全基金會共同運營。

Q3：AI生成的漏洞報告給開源項目帶來了哪些實際影響？

A：AI生成的低質量漏洞報告已經嚴重影響了多個開源項目。Python軟件基金會在2024年底就對此表示抱怨，流行的開源數據傳輸工具cURL的維護者甚至因為大量AI生成的貢獻帶來的困難而被迫終止了漏洞賞金計劃。這些垃圾報告讓本已過度勞累的維護者不堪重負。