颜林林的个人网站

从一个安全警告邮件想到的

2024-03-30 23:08
题图

这个邮件来自 Arch Linux,提示用户尽快升级系统及容器镜像,因为其 xz 软件包已经被恶意篡改并植入了后门。

类似的安全事件,如今并不少见。比如,前段时间才看到新闻,说 GitHub 正受到大量的自动 fork 并分发恶意代码的攻击,影响达到数十万个仓库(甚至更多)。可见,开源社区里,一切并不像大神曾经设想的 “given enough eyeballs, all bugs are shallow(只要眼球够多,bug都能被消除)” 那般美好。

其实,对代码及其分发二进制包进行检查和校验,开源社区早有各种成熟手段,诸如各种哈希码和电子签名,能够有效识别代码贡献者、文件发布者的身份。但“不够便捷”总是原罪,现实中能够采取足够安全措施的只是极少数。包括GitHub上提供的对commit的认证(参见我此前写过的《在GitHub上确保您的提交真实可信:一步一步配置GPG密钥》),在使用上也有诸多不便,甚至是不够严谨或难以满足需求之处(比如一旦密钥泄露,安全的做法是废除旧密钥,并同时重新分发新密钥,但这其实会使历史commit的认证都失效……这真是个让人无语的两难选择)。

当开源软件足够多,多到世界上所有的眼球(或注意力)加起来都不足以密集覆盖时,人性中的惰性,自然会让事态走样。大量的用户会沉湎于“开源是更安全的”这种幻觉,而致使疏于防范。看起来,这是个必然发生的事件。

也许,这正是 AI 可以大展拳脚的地方(不考虑算力和能源消耗的话,AI就是高通量且急速的廉价劳动力池,可以缓解眼球不够用的问题),如果它们能够足够智能、且听话地任劳任怨检查程序安全性的话。但是,反过来说,如果恶意攻击者也“擅用”AI呢?这还真是细思极恐呢!

--- END ---

注:本文首发表于“不靠谱颜论”公众号,并同步至本站。

相关文章