Sashiko：AI代碼審查系統(tǒng)助力Linux內(nèi)核發(fā)現(xiàn)人類(lèi)遺漏的漏洞

AI正以代碼審查系統(tǒng)的形式進(jìn)入Linux內(nèi)核領(lǐng)域，而非代碼提交。

Google的Linux內(nèi)核工程師Roman Gushchin在LinkedIn上宣布了Sashiko，這是一個(gè)用Rust編寫(xiě)的工具，專(zhuān)門(mén)用于發(fā)現(xiàn)漏洞和篩查代碼。

Gushchin表示："根據(jù)我的測(cè)量，基于1000個(gè)帶有'Fixes:'標(biāo)簽的最新上游問(wèn)題的完全未過(guò)濾集合，Sashiko能夠發(fā)現(xiàn)53%的漏洞（使用Gemini 3.1 Pro）。有些人可能認(rèn)為53%并不那么令人印象深刻，但這些問(wèn)題100%都被人類(lèi)審查員遺漏了。"

雖然在開(kāi)源社區(qū)中使用AI進(jìn)行代碼提交存在爭(zhēng)議，但像Sashiko這樣的工具可以在一定程度上減輕維護(hù)人員處理大量代碼審查的負(fù)擔(dān)。

Sashiko通過(guò)從郵件列表中獲取補(bǔ)丁來(lái)工作。它分析這些補(bǔ)丁，然后向維護(hù)人員和開(kāi)發(fā)人員提供反饋。據(jù)其作者稱(chēng)，"審查質(zhì)量很高...誤報(bào)率較難測(cè)量，但基于有限的人工審查，誤報(bào)率控制在20%范圍內(nèi)，其中大部分屬于灰色地帶。"

作者們對(duì)隱私和代碼共享方面非常坦誠(chéng)。Sashiko會(huì)將數(shù)據(jù)和代碼發(fā)送給配置的大語(yǔ)言模型提供商。它已經(jīng)在Gemini Pro 3.1上進(jìn)行了最多測(cè)試，但也應(yīng)該能與Claude和其他大語(yǔ)言模型配合工作。然而，運(yùn)行它需要成本。對(duì)于Linux內(nèi)核郵件列表，Google正在承擔(dān)費(fèi)用。

Gushchin說(shuō)："我們已經(jīng)在Google內(nèi)部使用它一段時(shí)間了，它幫助發(fā)現(xiàn)了大量真實(shí)問(wèn)題。"

Sashiko屬于Linux基金會(huì)，看起來(lái)是一個(gè)有用的工具——這是智能體AI的一個(gè)應(yīng)用，相比代碼提交可能引起更少的擔(dān)憂(yōu)。

Q&A

Q1：Sashiko是什么？它有什么作用？

A：Sashiko是Google Linux內(nèi)核工程師開(kāi)發(fā)的AI代碼審查系統(tǒng)，用Rust編寫(xiě)，專(zhuān)門(mén)用于發(fā)現(xiàn)Linux內(nèi)核代碼中的漏洞和進(jìn)行代碼篩查。它能夠發(fā)現(xiàn)人類(lèi)審查員遺漏的53%的漏洞。

Q2：Sashiko如何工作？準(zhǔn)確率如何？

A：Sashiko通過(guò)從郵件列表中獲取代碼補(bǔ)丁，使用大語(yǔ)言模型進(jìn)行分析，然后向維護(hù)人員和開(kāi)發(fā)人員提供反饋。誤報(bào)率控制在20%范圍內(nèi)，審查質(zhì)量較高。

Q3：使用Sashiko需要什么成本？誰(shuí)在承擔(dān)費(fèi)用？

A：運(yùn)行Sashiko需要將數(shù)據(jù)發(fā)送給大語(yǔ)言模型提供商，會(huì)產(chǎn)生相應(yīng)費(fèi)用。目前針對(duì)Linux內(nèi)核郵件列表的使用，費(fèi)用由Google承擔(dān)。該系統(tǒng)主要在Gemini Pro 3.1上測(cè)試，也支持Claude等其他大語(yǔ)言模型。