从一个安全警告邮件想到的

这个邮件来自 Arch Linux，提示用户尽快升级系统及容器镜像，因为其 xz 软件包已经被恶意篡改并植入了后门。

类似的安全事件，如今并不少见。比如，前段时间才看到新闻，说 GitHub 正受到大量的自动 fork 并分发恶意代码的攻击，影响达到数十万个仓库（甚至更多）。可见，开源社区里，一切并不像大神曾经设想的 “given enough eyeballs, all bugs are shallow（只要眼球够多，bug都能被消除）” 那般美好。

其实，对代码及其分发二进制包进行检查和校验，开源社区早有各种成熟手段，诸如各种哈希码和电子签名，能够有效识别代码贡献者、文件发布者的身份。但“不够便捷”总是原罪，现实中能够采取足够安全措施的只是极少数。包括GitHub上提供的对commit的认证（参见我此前写过的《在GitHub上确保您的提交真实可信：一步一步配置GPG密钥》），在使用上也有诸多不便，甚至是不够严谨或难以满足需求之处（比如一旦密钥泄露，安全的做法是废除旧密钥，并同时重新分发新密钥，但这其实会使历史commit的认证都失效……这真是个让人无语的两难选择）。

当开源软件足够多，多到世界上所有的眼球（或注意力）加起来都不足以密集覆盖时，人性中的惰性，自然会让事态走样。大量的用户会沉湎于“开源是更安全的”这种幻觉，而致使疏于防范。看起来，这是个必然发生的事件。

也许，这正是 AI 可以大展拳脚的地方（不考虑算力和能源消耗的话，AI就是高通量且急速的廉价劳动力池，可以缓解眼球不够用的问题），如果它们能够足够智能、且听话地任劳任怨检查程序安全性的话。但是，反过来说，如果恶意攻击者也“擅用”AI呢？这还真是细思极恐呢！

注：本文首发表于“不靠谱颜论”公众号，并同步至本站。