Greg Kroah-Hartman称Rust将拯救Linux于AI威胁

在荷兰乌得勒支举行的Rust Week大会上，Linux稳定内核维护者Greg Kroah-Hartman发表演讲，直言Rust将拯救Linux。他指出，随着AI漏洞检测工具的出现，大量严重安全问题如Dirty Frag、Copy Fail和Fragnesia被曝光，内核团队目前每天处理约13个CVE。Kroah-Hartman认为，Rust是应对这一局面的现实方案之一。

他展示了内核中C语言错误的典型案例：一个存在15年的蓝牙bug因未检查指针解引用而引发问题，一个Xen bug则在错误路径中忘记解锁。Kroah-Hartman表示，大多数内核bug源于这类“微小、次要的问题”，如错误检查遗漏、锁未释放、内存泄漏等。而Rust的“最美之处”在于，它能在编译时而非审查时捕获这些错误。例如，Rust的锁抽象机制确保只有持有锁才能访问内部指针，编译器自动管理加锁和解锁，从而避免了大量相关bug。他估计，这一特性可直接消除60%的内核bug。

即使Rust明天消失，Kroah-Hartman认为它已迫使内核清理C代码和接口。他提到，内核团队从Rust借鉴了“守卫”和范围锁等概念，使得C代码更安全、更易审查。目前，Linux内核有约36万行C代码和11.3万行Rust代码，后者主要是绑定层。Rust-for-Linux团队的工作还重塑了驱动程序接口，使驱动编写更简单且不易出错。

Kroah-Hartman强调了“所有输入都是恶意的”原则，并介绍了Rust中的“未信任”类型包装器和验证方法，这将强制在数据从不可信变为可信时进行显式验证。他认为，这一机制结合其他措施，有望消除80%的CVE。但他也承认Rust并非银弹，首个合并到内核的Rust模块（QR码显示逻辑）就曾出现内存错误。

关于内核重写，Kroah-Hartman明确表示不鼓励重写现有C代码，而是专注于新功能和新硬件支持。例如，安卓的Binder IPC机制将同时保留C和Rust实现，直到Rust版本达到功能对等后淘汰C版本。未来一两年内，新硬件驱动将大量采用Rust编写。他透露，安卓手机即将采用Rust编写的Binder代码，覆盖数十亿台设备。

内核维护者去年已达成共识：“Rust实验已经结束，这不是实验，这是真的。”Kroah-Hartman总结道：“Linux是进化，不是智能设计。随着时间的推移，Rust将成为内核的一部分。让我们全速前进，一如既往，世界统治正在推进。”