Sashiko：AI代码审查系统助力Linux内核发现人类遗漏的漏洞

AI正以代码审查系统的形式进入Linux内核领域，而非代码提交。

Google的Linux内核工程师Roman Gushchin在LinkedIn上宣布了Sashiko，这是一个用Rust编写的工具，专门用于发现漏洞和筛查代码。

Gushchin表示："根据我的测量，基于1000个带有'Fixes:'标签的最新上游问题的完全未过滤集合，Sashiko能够发现53%的漏洞（使用Gemini 3.1 Pro）。有些人可能认为53%并不那么令人印象深刻，但这些问题100%都被人类审查员遗漏了。"

虽然在开源社区中使用AI进行代码提交存在争议，但像Sashiko这样的工具可以在一定程度上减轻维护人员处理大量代码审查的负担。

Sashiko通过从邮件列表中获取补丁来工作。它分析这些补丁，然后向维护人员和开发人员提供反馈。据其作者称，"审查质量很高...误报率较难测量，但基于有限的人工审查，误报率控制在20%范围内，其中大部分属于灰色地带。"

作者们对隐私和代码共享方面非常坦诚。Sashiko会将数据和代码发送给配置的大语言模型提供商。它已经在Gemini Pro 3.1上进行了最多测试，但也应该能与Claude和其他大语言模型配合工作。然而，运行它需要成本。对于Linux内核邮件列表，Google正在承担费用。

Gushchin说："我们已经在Google内部使用它一段时间了，它帮助发现了大量真实问题。"

Sashiko属于Linux基金会，看起来是一个有用的工具——这是智能体AI的一个应用，相比代码提交可能引起更少的担忧。

Q&A

Q1：Sashiko是什么？它有什么作用？

A：Sashiko是Google Linux内核工程师开发的AI代码审查系统，用Rust编写，专门用于发现Linux内核代码中的漏洞和进行代码筛查。它能够发现人类审查员遗漏的53%的漏洞。

Q2：Sashiko如何工作？准确率如何？

A：Sashiko通过从邮件列表中获取代码补丁，使用大语言模型进行分析，然后向维护人员和开发人员提供反馈。误报率控制在20%范围内，审查质量较高。

Q3：使用Sashiko需要什么成本？谁在承担费用？

A：运行Sashiko需要将数据发送给大语言模型提供商，会产生相应费用。目前针对Linux内核邮件列表的使用，费用由Google承担。该系统主要在Gemini Pro 3.1上测试，也支持Claude等其他大语言模型。