Người duy trì kernel Linux đã gặp sự cố! AI hàng ngày gửi 10 báo cáo lỗ hổng, muốn bắt cá cũng khó

Chứng khoán thì cứ xem báo cáo phân tích của nhà phân tích Kim Qilin, có thẩm quyền, chuyên nghiệp, kịp thời, toàn diện—giúp bạn khai phá các cơ hội theo chủ đề tiềm năng!

（Nguồn: Lượng Tử Vị）

Người bảo trì kernel Linux đã bị sập.

Tốc độ mà AI tìm Bug hiện nay còn nhanh hơn cả tốc độ họ sửa Bug.

Mới vất vả tăng ca quét hết bom mìn, ngủ một giấc tỉnh dậy—

Hộp thư lại bị nhồi đầy một loạt báo cáo lỗ hổng mới.

Điều khiến tâm trạng “tụt mood” nhất là: các báo cáo do AI tạo ra này, vậy mà phần lớn lại vẫn đúng—muốn “làm cho có” cũng chẳng có cớ, huống chi người nộp đó còn là một “giám công lao động” kiểu cyber không cần ngủ.

Không làm xong được, công việc căn bản là không làm nổi.

Ai mà ngờ được AI lại biến thành roi mã hóa (cyber) của các nhà phát triển Linux.

Nhưng biết làm sao bây giờ?

Khi lỗ hổng đã bày sẵn trước mắt, chẳng lẽ lại giả chết chờ hacker “tóm nhà”?

Chỉ có thể cắn răng thức đêm để vừa sửa vừa vá.

Cuối cùng vị bảo trì này cũng chỉ có thể bất lực dang tay: trước mắt thì không còn cách nào, khuyên các đồng nghiệp hãy chuẩn bị tâm lý, mọi người cùng chịu vậy thôi.

Đây không phải nỗi buồn riêng của một mình vị bảo trì nào đó.

“Vài tháng trước, chúng tôi nhận được một số báo cáo an ninh chất lượng thấp do AI tạo ra,” lãnh đạo kernel Linux Greg Kroah-Hartman hồi tưởng, “lúc đó chúng tôi hoàn toàn không để ý.”

Ban đầu, mọi người đều nghĩ đó chỉ là một đống rác mới do AI tạo ra.

Ai ngờ chỉ trong một đêm, AI lột xác thành một tay hacker mũ trắng hàng đầu.

Các báo cáo AI liên tục điên cuồng “tấn công” hộp thư, và tỷ lệ chính xác lại cực cao—

Mở một cái, ờ, cái này nói cũng khá hợp lý.

Sang thư tiếp theo, ờ, sao cái này cũng đúng??

Ngay lập tức tối sầm hai mắt, bắt đầu một vòng vá lỗi bất tận……

Điểm kỳ dị đến quá đột ngột, ngay cả “ông trùm” kernel như Greg cũng cảm thấy một đầu mơ hồ:

Greg cho biết, các nhóm bảo mật của những dự án mã nguồn mở lớn thường trao đổi với nhau rất thường xuyên; ông cũng nói rõ rằng: “Hiện tại, tất cả các nhóm bảo mật mã nguồn mở đều đang trải qua chuyện này.”

Đến giờ vẫn chưa thể “bình tâm lại”—rốt cuộc là công cụ AI mới nào vừa xuất hiện?

Hay là con người bỗng nhiên cùng lúc kết nối vào tiềm thức, rồi đồng loạt vỗ trán:

“Ê, dùng AI đào lỗ hổng hình như thú vị, mình cùng thử xem.”

Dù nguyên nhân rốt cuộc là gì, có một sự thật là chắc chắn—

Cơn bão sóng thần thật sự đã đến.

Nhà phát triển Linux không chịu nổi!

Trên LWN.net, một nhà bảo trì kernel Linux với biệt danh wtarreau đã đăng lên “khoảnh khắc sụp đổ”.

Số lượng báo cáo tăng vọt chỉ là bề nổi.

Điều khiến anh sởn da gà thật sự là: mỗi ngày đều thấy những “cảnh tượng” kỳ lạ mà trước đây chưa từng gặp, liên tục diễn ra:

Hai người khác nhau, gửi cùng một báo cáo lỗ hổng

Biết rằng trước đây, để tìm lỗ hổng bảo mật, thường cần ngưỡng kỹ thuật cao; một báo cáo thường phải do con người phân tích sâu mới ra được.

Điều này cũng có nghĩa là mỗi người sẽ có một hướng suy nghĩ khác nhau, rồi đi tới những hướng khác nhau.

Trong một kho mã khổng lồ như Linux, việc lặp lại phát hiện cùng một lỗ hổng?

Xác suất này còn thấp hơn cả trúng số.

Cách giải thích duy nhất chính là: hiện nay có một đống người vốn không làm bảo mật trước giờ, cũng bắt đầu dùng AI để tìm lỗ hổng.

Và họ làm điều đó rất hăng.

Điều này khiến khối lượng công việc của wtarreau bùng nổ ngay lập tức, buộc phải mở rộng đội ngũ, lôi thêm người vào hỗ trợ.

Tuy nhiên, wtarreau không hề nói lời than phiền; ngược lại còn cho rằng đó là một “nỗi phiền hạnh phúc”.

Nhưng ngẫm lại thì, có lẽ cũng không hẳn là chuyện xấu.

Điều này khiến wtarreau nhớ lại thời kỳ trước năm 2000—đó là “kỷ nguyên vàng” khiến những người bảo trì an ninh phải bận tâm đến mức day dứt.

Thời đó internet chưa phổ biến, không thể như bây giờ OTA trực tuyến vá lỗi.

Phần mềm phải được ghi đĩa CD hoặc chép vào hàng triệu đĩa mềm để phân phối; nếu trong đó có lỗ hổng bảo mật nghiêm trọng… xong hết, coi như xong.

Vì vậy, phần mềm lúc bấy giờ nhất định phải vượt qua muôn vàn thử thách.

Ngày nay, ngành phần mềm có thể sẽ bị AI buộc phải quay lại nhặt lên chuẩn kiểm tra chất lượng “dị hợm” kiểu đó.

Mô hình “phát hành xong là bỏ mặc” không còn hoạt động được nữa.

Mỗi phần mềm bây giờ đều là mục tiêu sống.

Cơ chế phong tỏa vô dụng rồi: nếu nhà sản xuất phát hiện ra lỗ hổng, sẽ không còn cớ gì để “giấu đi không nói”.

Rốt cuộc là, ngay cả khi có ai đó thông báo trước cho nhà sản xuất, ai dám đảm bảo sẽ không có kẻ xấu dùng AI phát hiện ra đúng vấn đề tương tự, rồi đem đi tấn công người dùng?

Thế nên hễ có bug được báo cáo, người bảo trì buộc phải sửa ngay lập tức.

Về vấn đề này, wtarreau tỏ ra rất hào hứng.

Nghe thì có hơi đáng sợ, và cũng đúng là rất mệt, nhưng chất lượng phần mềm có thể sẽ bước vào một đợt cải thiện lớn chưa từng có.

Tuy vậy, với kiểu “nỗi phiền hạnh phúc” như thế này, một số cư dân mạng lại cho rằng hoàn toàn không thể đồng cảm.

Anh thẳng thừng nói rằng các nhà phát triển Linux chỉ đang tự làm mình cảm động; có một số thiếu sót căn bản chẳng ai quan tâm, nâng cấp mù quáng còn có thể gây thảm họa tương thích.

Vì thế, anh đề xuất rằng người bảo trì hãy tập trung vào trọng tâm: không cần AI nói gì thì sửa nấy; chỉ cần siết chặt những lỗ hổng mức hệ thống nghiêm trọng nhất là được.

Với quan điểm đó, một cư dân mạng khác lại thẳng tay chỉ ra: đó hoàn toàn là vô căn cứ, chẳng qua chỉ đang tìm cớ.

Nhưng có lẽ ở đây còn một vấn đề thực tế hơn—

“Niềm phiền hạnh phúc” có thể quá đẹp; ai đảm bảo đây sẽ không phải một “địa ngục bảo mật” chưa từng có?

Tốc độ tay sửa bug của người bảo trì, liệu có thật sự chạy nhanh hơn tốc độ tấn công của tội phạm khi dùng AI để tìm lỗ hổng hay không?

Nhưng thực ra cũng chẳng sao—không thắng nổi thì mình gia nhập thôi.

Hiện tại, AI trong phát triển kernel Linux vẫn chủ yếu ở mức hỗ trợ, chưa chính thức tự viết toàn bộ mã.

Nhưng giờ đây, ranh giới đó đang dần trở nên mờ đi.

Ngay chính Greg cũng đã bắt đầu dùng AI để làm thử nghiệm.

Dù cho những bản vá này còn phải được người dùng dọn lại cho sạch, thêm phần mô tả commit cho đẹp mắt, rồi tích hợp vào—nhưng tuyệt đối không được gọi chúng là “rác AI”.

“Những công cụ đó là có ích,” Greg thừa nhận, “chúng ta không thể giả vờ như không thấy. Chúng thật sự đã đến, và ngày càng mạnh hơn.”

Các nhà phát triển thì cũng rất thành thật về cơ thể。“Chúng tôi đã thấy một số bản vá đúng là do AI tạo ra,” Greg nói thêm.

Và lợi ích lớn nhất của việc làm như vậy, nằm ở tốc độ phản hồi.

Greg đề cập rằng hiện nay chúng ta có rất nhiều robot đang giám sát việc kiểm tra các bản vá.

Nếu việc kiểm tra không thông qua, nhà phát triển có thể nhận phản hồi ngay lập tức và đưa ra ý kiến: “Được, vậy thì ngày mai tôi nộp một phiên bản khác.”

Nhờ thế, tốc độ vá lỗi sẽ được kéo ngang với tốc độ mà AI đào lỗ hổng.

Đối với Linux, mối quan hệ với AI đã trở thành một vấn đề mà họ buộc phải suy nghĩ.

Đó vừa là cơ hội, vừa là thách thức.

Một mặt, AI tạo ra nguồn lỗ hổng mới, làm nặng thêm gánh nặng thẩm định thủ công.

Nhưng mặt khác, AI cũng đang giúp giảm bớt áp lực đó.

Có lẽ, những người bảo trì kernel Linux đang đối mặt hôm nay chính là bản thu nhỏ của toàn cảnh “cuộc cách mạng AI” này.

AI đang phát triển nhanh chóng, và sự phát triển đó cũng buộc chúng ta phải học cách đón nhận nó.

Thắt dây an toàn lên nhé.

Liên kết tham khảo:

[1]

[2]

[3]

Kho dữ liệu khổng lồ, phân tích chính xác—tất cả đều có trên ứng dụng Sina Finance APP