Einen Monat, eine Mutation. Ein Linux-Kernel-Experte ist perplex: Letzter Monat war es noch "AI-Müll", aber diesen Monat sind die AI-Bug-Reports plötzlich zuverlässig?

In letzter Zeit haben Entwickler, die an der Wartung von Open-Source-Projekten arbeiten, möglicherweise den seltsamen Eindruck, dass die Anzahl der gemeldeten Bugs zugenommen und die Meldungen genauer geworden sind. Genauer gesagt, die von KI gemeldeten Bugs scheinen plötzlich "verlässlicher" zu sein.

Dies ist kein zufälliges Phänomen in einzelnen Projekten, sondern eine nahezu gleichzeitige Veränderung in der gesamten Open-Source-Welt. Auf der kürzlich stattgefundenen KubeCon Europe gab Greg Kroah-Hartman, ein Kernwartungsmitglied des Linux-Kernels, eine etwas beunruhigende Information preis:

"Vor etwa einem Monat hat sich irgendetwas verändert. Jetzt erhalten wir von KI generierte Meldungen, die echte, wertvolle Bugmeldungen sind."

Das Problem ist jedoch, dass niemand weiß, was passiert ist.

Von "KI-Müll" zu "echten Meldungen" in nur einem Monat

Greg erinnert sich, dass vor einigen Monaten das Linux-Kernel-Team von einer Art von Meldungen "plagiert" wurde: "Wir nannten es damals 'KI-Schrott' (AI slop)."

Die meisten dieser von KI generierten Sicherheitsberichte hatten offensichtliche Probleme: Unlogische Argumente, nie realisierte Sicherheitslücken, durcheinandergeworfene Beschreibungen und sogar fehlerhafte Code-Pfade. Für die Wartungsmitglieder waren sie eher eine Störung als eine Hilfe.

Glücklicherweise ist das Linux-Kernel-Wartungsteam groß genug, um diese Störungen zu ertragen. Bei kleineren Projekten sieht die Situation jedoch nicht so rosig aus. Beispielsweise hat das von Daniel Stenberg geleitete cURL-Projekt seine Bug-Belohnungsprogramm ausgesetzt, weil es nicht in der Lage war, die echten von den gefälschten Meldungen zu unterscheiden.

Doch plötzlich kam ein Wendepunkt: Greg beschreibt es direkt: "Nach einem bestimmten Zeitpunkt hat sich die Situation plötzlich geändert."

Derzeit ist die Situation wie folgt:

● Die von KI eingereichten Bugmeldungen sind in den meisten Fällen verifizierbare, echte Probleme.

● Die Meldungen sind besser strukturiert und die Analysepfade sind logischer.

● Es handelt sich nicht mehr um "ratlos geratenes Zeug", sondern um Sicherheitsanalysen auf einem Niveau nahezu menschlicher Entwickler.

Wichtig ist auch, dass dies kein Phänomen, das nur im Linux-Projekt auftritt.

"Alle Open-Source-Projekte beginnen, von KI generierte, hochwertige und echte Meldungen zu erhalten, anstatt des früheren Schrotts." Greg sagt, dass die Sicherheitsteams der großen Open-Source-Projekte regelmäßig untereinander kommunizieren und alle das gleiche Phänomen beobachtet haben: "Jetzt erleben alle Open-Source-Sicherheitsteams dies."

Als er gefragt wurde, "was sich genau geändert hat", gab er eine direkte Antwort: "Ich weiß es nicht, wirklich niemand weiß es."

Greg vermutet, dass entweder eine große Anzahl von KI-Tools plötzlich stark verbessert wurde oder dass viele Menschen sich jetzt ernsthaft mit diesem Bereich beschäftigen. Es scheint, dass viele verschiedene Teams und Unternehmen gleichzeitig daran arbeiten.

Unabhängig von der Ursache ist eines sicher: Die gesamte Open-Source-Sicherheits-Ökosystem erlebt diese "KI-Transformation" gleichzeitig.

Die KI beginnt nicht nur, Bugs zu finden, sondern auch, sie zu beheben

Die Veränderungen gehen jedoch noch weiter. Derzeit spielt die KI im Linux-Kernel hauptsächlich in der Code-Review-Phase eine Rolle, wird in geringem Maße zur Erstellung von Patches eingesetzt und nur selten direkt zum Schreiben von Kerncode. Greg sagt jedoch: "Bei einfachen Problemen (z. B. Fehlermanagementlogik) kann die KI bereits 'dutzende nutzbarer Patches' generieren."

Greg gibt ein konkretes Beispiel: Er hat die KI mit einem sehr einfachen und sogar "beliebig" gewählten Hinweis aufgefordert, den Code zu analysieren und Lösungen vorzuschlagen. Die KI hat daraufhin 60 Probleme und die entsprechenden Patches geliefert. Etwa ein Drittel davon war fehlerhaft - aber selbst die fehlerhaften Patches wiesen auf reale Risiken hin. Die übrigen zwei Drittel waren direkt einsetzbare Lösungen.

Naturgemäß können diese Patches nicht direkt integriert werden, sondern müssen von Menschen bearbeitet, mit Änderungsbeschreibungen versehen und in den Code integriert werden. Der wichtigste Punkt ist jedoch: Dies beweist, dass es sich nicht mehr um "nutzlosen KI-Schrott", sondern um "brauchbare Halbfertigteile" handelt.

Wie Greg sagt: "Diese Tools funktionieren sehr gut. Wir können sie nicht ignorieren. Sie entwickeln sich schnell und werden immer stärker."

Linux beginnt, die KI "rückwärts auszurüsten" und die Geschwindigkeit zu erhöhen

Mit der zunehmenden Anzahl von von KI generierten Inhalten hat sich ein neues Problem ergeben: Die menschlichen Wartungsmitglieder können nicht mehr alles bewerten.

Deshalb beginnt die Linux-Community, die KI umgekehrt einzusetzen, um dieses Problem zu lösen. Ein wichtiges Werkzeug ist Sashiko, das von Google entwickelt und später an die Linux Foundation gespendet wurde. Sein Ziel ist klar: Bevor ein Patch einer menschlichen Prüfung unterzogen wird, wird er zuerst von der KI vorgeschlagen.

Zur gleichen Zeit sammeln die verschiedenen Subsysteme ihre eigenen "KI-Review-Erfahrungen". "Verschiedene Subsysteme optimieren ihre Fähigkeiten und Hinweise gezielt - z. B. welche Punkte im Speichermodul und im Grafikmodul beachtet werden müssen. Alle tragen ihre Optimierungslösungen in der öffentlichen Community bei. Dies ist der richtige Weg und sehr gut."

Greg erwähnt auch, dass Chris Mason, ein erfahrener Kernel-Entwickler, der jetzt bei Meta arbeitet, zuerst einen KI-basierten Review-Workflow entwickelt hat, der bereits seit langem in den eBPF- und Netzwerkmodulen läuft. Das systemd-Projekt verwendet ähnliche Tools in seiner reinen C-Codebasis.

Er betont jedoch auch, dass die KI-Review eine Ergänzung, nicht aber eine Ersetzung für die menschliche Prüfung ist: "Bei der Prüfung kann die KI viele gute Vorschläge geben, aber nicht alle Fälle abdecken. Einige Schlussfolgerungen sind immer noch fehlerhaft. Dennoch können viele offensichtliche Probleme von ihr erkannt werden."

Insgesamt liegt der wahre Wert der KI-Review nicht so sehr darin, "ob sie richtig ist", sondern darin, dass sie schnell ist.

Im traditionellen Prozess kann es Tage oder sogar länger dauern, bis ein Patch von den Wartungsmitgliedern gesehen wird. Die KI kann jedoch in wenigen Minuten erste Rückmeldungen geben. Dies hat eine Kette von Reaktionen zur Folge: Entwickler können Probleme schneller beheben und neue Versionen einreichen. Patches mit offensichtlichen Problemen können frühzeitig gefiltert werden. Die Wartungsmitglieder können sich dann auf komplexere Entscheidungen konzentrieren.

In gewisser Weise hat die KI den Code-Review-Prozess von "Warten in der Schlange" zu "sofortiger Rückmeldung" verändert.

Aber die Kosten sind real: Die Arbeitsbelastung nimmt zu

Alles scheint sich zu verbessern, aber Gregs Schlussfolgerung ist zurückhaltend: "Wir müssen mehr prüfen."

Die KI hat die Einstiegshürde gesenkt und die "Anscheinssicherheit" der Inhalte erhöht, was direkt zu einem Anstieg der Eingaben geführt hat. Bei einem großen Projekt wie Linux ist dies noch zu ertragen. Bei kleinen und mittleren Open-Source-Projekten kann dieser Anstieg jedoch überwältigend sein.

Deshalb versuchen Sicherheitsinitiativen wie OpenSSF und Alpha-Omega, mehr Tools bereitzustellen, um den Wartungsmitgliedern zu helfen, diesen "Strom von KI-Eingaben" zu bewältigen.

Für alle Open-Source-Wartungsmitglieder besteht die echte Herausforderung nicht mehr darin, "ob die KI eingesetzt wird", sondern darin, wie man die KI in produktive Kraft umwandeln kann, ohne unter der Last zu ertrinken. Und angesichts der aktuellen Trends hat dieser "Infrastrukturwettlauf" um die KI erst gerade begonnen.

Referenzlink: https://www.theregister.com/2026/03/26/greg_kroahhartman_ai_kernel/

Dieser Artikel stammt aus dem WeChat-Account "CSDN", bearbeitet von Zheng Liyuan, veröffentlicht von 36Kr mit Genehmigung.