LLM 產生的資安回報,促使 Linux 核心刪減舊有程式碼 (★ 73 分)
Linux 核心近期出現一波刪減舊有網路程式碼的提案,主因不是大型語言模型 (LLM) 直接幫忙精簡架構,而是人工智慧 (AI) 產生的資安瑕疵回報暴增後,維護成本已經高到難以承受。提案涵蓋 ISA (舊式擴充匯流排標準) 與 PCMCIA (舊式筆電擴充卡規格) 乙太網路驅動程式、兩個 PCI (Peripheral Component Interconnect,周邊元件互連) 驅動程式、AX.25 (業餘無線電封包通訊協定) 與相關業餘無線電子系統,以及 ATM (Asynchronous Transfer Mode,非同步傳輸模式) 和 ISDN (Integrated Services Digital Network,整合服務數位網路) 子系統。維護者以業餘無線電為例直言,這些程式多年來一直是 syzbot (Linux 核心自動模糊測試與錯誤回報機器人) 的高頻目標,如今又沒有人願意協助處理 AI 產生的大量回報,只能考慮把功能移出主線樹 (out of tree,改由核心外維護) 來保住維護團隊的理智。
不少人認為,LLM 只是把早該面對的現實照得更清楚:大型專案裡有些程式碼幾乎沒人熟悉、近年的修補多半來自靜態分析工具,甚至連是否還有真實使用者都說不準,繼續留在主線只是讓它看起來像「有人維護」。在這種觀點下,刪除或外移這些功能並不是向 AI 投降,而是承認技術債已經大到不值得再由整個 Linux 生態系共同承擔。不過反方也提醒,老舊不代表無用,尤其在工業設備或特殊擴充情境中,PCMCIA、ISA 這類介面可能仍以轉接卡或既有系統形式存在,一旦主線撤掉支援,現場就可能被迫停留在舊版核心。
討論因此延伸到誰該付維護成本這個更現實的問題。有人主張,服役數十年、價格高昂的工業設備,本來就應該由製造商、整合商、現有持有者或其委外廠商出資維護,而不是持續依賴上游志工無償照顧;也有人反駁,現實常是設備仍在用、原廠卻早已消失,等到使用者升級到新的長期支援版時,才發現關鍵功能已被拿掉。另有意見建議,發行版可以依模組的維護程度與實際用途分級,不常用的功能改成額外安裝,並限制自動載入,以縮小攻擊面;但也有人指出,Linux 長期沒有穩定的驅動程式應用程式介面 (API, Application Programming Interface),要在核心外維護這些驅動程式,本身就是一項不小的負擔。
業餘無線電相關功能最引發情緒反彈,因為不少人認為它不只是懷舊興趣,對偏遠地區通訊、實驗文化與某些網狀網路應用仍有價值。但贊成移除的人則強調,問題不是功能有沒有趣,而是沒人維護的核心程式是否還該繼續存在;若 AX.25 等協定能用使用者空間 (user space,非核心特權層) 工具實作,就沒有必要繼續把高權限、少人照看的協定堆疊放在核心裡。也有人補充,真正的風險不一定來自真的插了相關硬體的機器,而可能來自模組自動載入,讓本來不需要這些功能的系統也暴露在額外攻擊面前。
對 LLM 在資安研究上的實際價值,意見仍然分裂。質疑者認為,這類工具雖然現在比幾個月前有進步,仍會吐出大量誤報,若沒有熟悉核心程式的人逐一驗證,只會讓真正危險的問題被噪音淹沒;贊成者則說,最近的品質已跨過可用門檻,尤其在老舊 C 語言程式碼的記憶體安全問題上,已經能大幅降低找漏洞的人力成本。至於有人提出以 Rust 程式語言重寫這些驅動程式,回應多半認為語言只能降低部分風險,卻不能取代長期維護;若沒有人願意持續照顧,重寫只是把舊技術債換成新技術債。整體風向偏向務實收縮:把長期乏人照料、可由外部模組或使用者空間承接的功能移出主線,把有限人力留給真正有人維護、也確實仍被廣泛使用的部分。
👥 52 則討論、評論 💬
https://news.ycombinator.com/item?id=47862230