六家大型科技公司共同提供了1250万美元的资助,用于帮助开源项目维护者应对AI生成的垃圾漏洞报告。
Linux基金会在公告中解释道:"随着安全形势变得更加复杂,AI的进步正在大幅提高开源软件漏洞发现的速度和规模。维护者现在面临着前所未有的安全发现涌入,其中许多是由自动化系统生成的,但他们却没有足够的资源或工具来有效地分类和修复这些问题。"
Anthropic、AWS、GitHub、谷歌、微软和OpenAI决定提供帮助,共同为该项目投入1250万美元。
Linux基金会旗下致力于改善开源供应链安全的Alpha-Omega项目将与开源安全基金会(OpenSSF)共同运营这一新计划。
据介绍,这两个组织"直接与维护者及其社区合作,使新兴的安全能力变得易于访问、实用,并与现有的项目工作流程保持一致。"此外:"该计划将支持可持续的策略,帮助维护者管理日益增长的安全需求,同时提高开源生态系统的整体韧性。"
Linux基金会的公告中引用了Linux内核项目的Greg Kroah-Hartman的一段话,开头写道:"仅靠资助并不能解决AI工具今天给开源安全团队带来的问题。"
不过不必担心,GKH并没有否定这个想法。这段话接着说:"OpenSSF拥有支持众多项目所需的活跃资源,这将帮助这些过度劳累的维护者对他们目前收到的越来越多的AI生成的安全报告进行分类和处理。"
目前尚未透露该项目的具体实施内容和时间表。
AI生成的漏洞报告淹没开源软件维护者的问题并不新鲜。Python软件基金会在2024年底就对此提出过抱怨。最近,流行的开源数据传输工具cURL的维护者因大量AI生成的贡献带来的困难而终止了该项目的漏洞赏金计划。
就连微软的GitHub也曾考虑对涌入开源软件项目的大量低质量AI生成贡献采取措施。
Q&A
Q1:Linux基金会启动的这个项目是为了解决什么问题?
A:该项目旨在帮助开源项目维护者应对AI自动化系统生成的大量漏洞报告。随着AI技术的发展,开源软件漏洞发现的速度和规模大幅增加,维护者面临前所未有的安全报告涌入,但缺乏足够的资源和工具来有效分类和修复这些问题。
Q2:哪些科技公司为这个项目提供了资助?
A:Anthropic、AWS、GitHub、谷歌、微软和OpenAI这六家大型科技公司共同为该项目提供了1250万美元的资助。该项目将由Linux基金会的Alpha-Omega项目与开源安全基金会共同运营。
Q3:AI生成的漏洞报告给开源项目带来了哪些实际影响?
A:AI生成的低质量漏洞报告已经严重影响了多个开源项目。Python软件基金会在2024年底就对此表示抱怨,流行的开源数据传输工具cURL的维护者甚至因为大量AI生成的贡献带来的困难而被迫终止了漏洞赏金计划。这些垃圾报告让本已过度劳累的维护者不堪重负。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
腾讯混元等机构提出HiLS-Attention,通过端到端可学习的分层稀疏注意力机制,让大模型在超长上下文推理中比全量注意力快14倍,同时检索准确率更高。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。