RustがLinuxをAIから救うとGreg Kroah-Hartman氏が語る

オランダ・ユトレヒトで開催されたRust Weekカンファレンスで、Linux安定版カーネルメンテナーのGreg Kroah-Hartman氏が基調講演を行い、RustがLinuxを救うと断言した。AIベースの脆弱性検出ツールによってDirty Frag、Copy Fail、Fragnesiaなどの深刻なセキュリティ問題が続々と発見され、カーネルチームは現在1日あたり約13件のCVEを公開しているという。Kroah-Hartman氏は、Rustがこの状況に対処する現実的な手段の一つだと述べた。

同氏は、C言語の典型的なバグ事例として、15年前のBluetoothバグ（ポインタのチェック不足）やXenバグ（エラーパスでのロック解放忘れ）を挙げ、「カーネルのバグの大半はこうした小さなミスに起因する。Rustの最大の利点は、レビュー時ではなくビルド時にこれらの問題を捕捉できることだ」と説明した。例えば、Rustのロック抽象化により、ロックを取得しなければ内部ポインタにアクセスできず、コンパイラが自動的にロックを管理するため、関連バグの60％が排除されると見積もった。

Rustが明日消え去ったとしても、Kroah-Hartman氏は「既にCコードのクリーンアップと改善が促進された」と指摘。カーネルチームはRustからインスピレーションを得て、C言語にスコープ付きロックなどの新機能を導入した。現在、Linuxカーネルは約36万行のCコードと11.3万行のRustコード（主にバインディング）で構成される。Rust-for-Linuxチームの取り組みはドライバインターフェースを再設計し、ドライバ作成をよりシンプルかつ堅牢にした。

Kroah-Hartman氏は「すべての入力は悪意がある」という原則を強調し、Rustの「未信頼」型ラッパーと検証メソッドを紹介。これにより、ユーザー空間からのデータが信頼済みに変換される時点で明示的な検証が強制される。同氏は、この仕組みが他の対策と組み合わさることでCVEの80％を削減できると主張した。ただし、Rustが魔法ではないことも認め、最初に統合されたRustモジュール（QRコード表示）にメモリバグがあった事例を挙げた。

既存のCコードの書き換えは推奨せず、新機能と新ハードウェアサポートにRustを活用する方針。AndroidのBinder IPCではCとRustの実装が一時的に共存し、Rust版が機能パリティに達した後にC版が削除される。今後1〜2年で、新たなハードウェアドライバは主にRustで書かれるようになるという。Kroah-Hartman氏は「Rustを搭載したAndroid端末がまもなく登場し、数十億台のデバイスでRustが動作する」と予告した。

カーネルメンテナーは昨年、「Rust実験は終了した。これは本物だ」と宣言した。Kroah-Hartman氏は「Linuxは進化であり、インテリジェントデザインではない。Rustはカーネルの一部として定着するだろう。全力で前進しよう。そして、いつものように、世界征服は続く」と締めくくった。