AI 泛滥，开源维护者快撑不住了

过去一年，开源项目维护者们被一种新“病毒”缠上——AI 自动生成的安全报告。这些报告数量庞大，动辄成千上万条，内容却大多是“这行代码没做边界检查”“这个函数可能有空指针”之类的泛泛之谈，90%以上根本不是真实漏洞。它们像垃圾邮件一样涌进 GitHub Issues、邮件列表和漏洞平台，把真正重要的安全问题埋在了信息泥潭里。

这不是科幻场景，是正在发生的现实。cURL 团队曾公开表示，他们一度每天收到超过 5000 条 AI 生成的“漏洞报告”，团队只有三个人，根本处理不过来。最终，他们不得不暂停了漏洞奖励计划——不是因为没人报告，而是报告太多，真假难辨，累到放弃。

现在，六家科技巨头终于坐不住了。Anthropic、AWS、GitHub、谷歌、微软和 OpenAI 联合向 Linux 基金会捐赠了 1250 万美元，目标只有一个：帮开源维护者把“噪音”过滤掉，把时间还给他们。

钱花在哪？不是买工具，是救人

这笔钱不会用来开发什么“AI 审核机器人”，而是砸在两个关键项目上：

• Alpha-Omega：由 Linux 基金会主导，专注为高风险开源项目（如 OpenSSL、OpenSSH、Linux 内核）提供长期安全支持。这次资金将用于雇佣专职安全工程师，专门处理 AI 报告的“第一道筛”，把真正值得看的挑出来。
• OpenSSF 的 AI 报告过滤计划：开发开源工具，让维护者能一键标记“AI 生成报告”，系统自动学习哪些特征是“水货”，未来直接拦截或降级处理。类似“垃圾邮件过滤器”，但专为安全报告设计。

更重要的是，这笔钱也支持培训和社区协作。比如，为小型项目提供“安全响应模板”，教他们怎么快速回复 AI 报告：“感谢提交，但该问题已在 v1.2.3 修复”——而不是花三小时写长篇分析。

GitHub 正在悄悄改规则

不只是捐款，平台也在动手。GitHub 已在内部测试一项新机制：当某个用户在短时间内提交超过 20 条结构高度相似的安全报告时，系统会自动暂停其提交权限，并弹出提示：“你提交的报告疑似由 AI 生成。请确认是否为真实漏洞，或联系项目维护者确认。”

这不是要封杀 AI，而是逼使用者“负责任地使用”。有开发者在 Hacker News 上分享，他用 AI 扫描了 50 个开源项目，生成了 800 条报告，结果只有 3 条是真实漏洞——其余全是误报或已修复问题。他说：“我本意是帮忙，结果成了添乱。”

Greg Kroah-Hartman 的警告

Linux 内核核心维护者 Greg Kroah-Hartman 说得直白：“钱解决不了问题，除非你把钱花在人身上。”他见过太多项目因为处理不了 AI 报告而放弃维护。他说：“我们不是反对技术，我们反对的是把人当机器用。”

现在，他所在的团队已经开始用新工具筛选报告：一个简单的浏览器插件，能自动标记“AI 生成特征”——比如重复句式、模糊描述、无具体复现步骤。只要一瞥，就能跳过 80% 的无效内容。

这不是终点，是起点

1250 万美元听起来不少，但对比全球开源生态的体量，只是杯水车薪。目前，全球有超过 1.5 亿个开源项目，其中超过 70% 没有专职安全人员。AI 的浪潮不会停，但如果我们不在这波洪流中筑起堤坝，下一个被压垮的，可能是你正在用的某个关键库。

这场行动的意义，不在于巨头们捐了多少钱，而在于他们终于承认：开源不是免费的劳动力池，维护者不是 AI 的测试员。真正的安全，不是靠机器扫出来的，是靠人盯出来的。

如果你是开发者、企业采购负责人，或只是个普通用户——你用的每一个开源库，背后都可能有一个快被报告压垮的人。这次的行动，值得你关注，也值得你参与。