Linux基金会启动项目保护开源维护者免受AI垃圾报告困扰

六家大型科技公司共同提供了1250万美元的资助，用于帮助开源项目维护者应对AI生成的垃圾漏洞报告。

Linux基金会在公告中解释道："随着安全形势变得更加复杂，AI的进步正在大幅提高开源软件漏洞发现的速度和规模。维护者现在面临着前所未有的安全发现涌入，其中许多是由自动化系统生成的，但他们却没有足够的资源或工具来有效地分类和修复这些问题。"

Anthropic、AWS、GitHub、谷歌、微软和OpenAI决定提供帮助，共同为该项目投入1250万美元。

Linux基金会旗下致力于改善开源供应链安全的Alpha-Omega项目将与开源安全基金会（OpenSSF）共同运营这一新计划。

据介绍，这两个组织"直接与维护者及其社区合作，使新兴的安全能力变得易于访问、实用，并与现有的项目工作流程保持一致。"此外："该计划将支持可持续的策略，帮助维护者管理日益增长的安全需求，同时提高开源生态系统的整体韧性。"

Linux基金会的公告中引用了Linux内核项目的Greg Kroah-Hartman的一段话，开头写道："仅靠资助并不能解决AI工具今天给开源安全团队带来的问题。"

不过不必担心，GKH并没有否定这个想法。这段话接着说："OpenSSF拥有支持众多项目所需的活跃资源，这将帮助这些过度劳累的维护者对他们目前收到的越来越多的AI生成的安全报告进行分类和处理。"

目前尚未透露该项目的具体实施内容和时间表。

AI生成的漏洞报告淹没开源软件维护者的问题并不新鲜。Python软件基金会在2024年底就对此提出过抱怨。最近，流行的开源数据传输工具cURL的维护者因大量AI生成的贡献带来的困难而终止了该项目的漏洞赏金计划。

就连微软的GitHub也曾考虑对涌入开源软件项目的大量低质量AI生成贡献采取措施。

Q&A

Q1：Linux基金会启动的这个项目是为了解决什么问题？

A：该项目旨在帮助开源项目维护者应对AI自动化系统生成的大量漏洞报告。随着AI技术的发展，开源软件漏洞发现的速度和规模大幅增加，维护者面临前所未有的安全报告涌入，但缺乏足够的资源和工具来有效分类和修复这些问题。

Q2：哪些科技公司为这个项目提供了资助？

A：Anthropic、AWS、GitHub、谷歌、微软和OpenAI这六家大型科技公司共同为该项目提供了1250万美元的资助。该项目将由Linux基金会的Alpha-Omega项目与开源安全基金会共同运营。

Q3：AI生成的漏洞报告给开源项目带来了哪些实际影响？

A：AI生成的低质量漏洞报告已经严重影响了多个开源项目。Python软件基金会在2024年底就对此表示抱怨，流行的开源数据传输工具cURL的维护者甚至因为大量AI生成的贡献带来的困难而被迫终止了漏洞赏金计划。这些垃圾报告让本已过度劳累的维护者不堪重负。