六大科技公司投入 1250 万美元，助 Linux 基金会应对 AI 低质漏洞报告噪音

为应对由 AI 自动化工具批量生成的低质量安全报告，Anthropic、亚马逊（AWS）、GitHub、谷歌、微软和 OpenAI 六家科技公司近日向 Linux 基金会相关项目合计注资1250 万美元。这笔资金旨在帮助开源软件（FOSS）维护者摆脱繁重的筛查工作，把精力集中在真正的安全风险上。

随着 AI 技术降低了发现漏洞的门槛，开源社区正面临新的压力：

• 灌水式报告：大量借助 AI 自动生成的报告涌向维护者，数量庞大，但常缺少足够的分析与依据，误报比例很高。

• 资源吃紧：因为缺乏有效的分类与处理工具，不少项目维护者（如 cURL 团队）难以承受处理成本，甚至被迫暂停或终止漏洞奖励计划。

这笔资金将主要投向 Linux 基金会旗下的 Alpha-Omega 项目与开源安全基金会（OpenSSF）：

• 技术赋能：研发并推广更易落地的安全工具，让维护者把 AI 辅助筛查自动接入现有工作流程。

• 流程优化：探索可持续的社区策略，用技术手段对 AI 报告进行高效分级和归类，降低“噪音”对协作的干扰。

Linux 内核核心维护者 Greg Kroah-Hartman 提醒，资金并非万能，关键在于把资源用在刀刃上，精准支持那些被 AI 报告压得喘不过气的团队。目前，GitHub 等平台也在考虑引入“紧急刹车”等机制，防止低质 AI 生成内容淹没正常的开源贡献。

虽然具体的实施时间表尚未公布，但此举意味着科技行业开始正面应对 AI 工具带给开源协作生态的副作用，目标是提升全球供应链的安全韧性。