Greg Kroah-Hartman稱Rust將拯救Linux於AI威脅

在荷蘭烏得勒支舉行的Rust Week大會上，Linux穩定內核維護者Greg Kroah-Hartman發表演講，直言Rust將拯救Linux。他指出，隨着AI漏洞檢測工具的出現，大量嚴重安全問題如Dirty Frag、Copy Fail和Fragnesia被曝光，內核團隊目前每天處理約13個CVE。Kroah-Hartman認為，Rust是應對這一局面的現實方案之一。

他展示了內核中C語言錯誤的典型案例：一個存在15年的藍牙bug因未檢查指針解引用而引發問題，一個Xen bug則在錯誤路徑中忘記解鎖。Kroah-Hartman表示，大多數內核bug源於這類“微小、次要的問題”，如錯誤檢查遺漏、鎖未釋放、內存泄漏等。而Rust的“最美之處”在於，它能在編譯時而非審查時捕獲這些錯誤。例如，Rust的鎖抽象機制確保只有持有鎖才能訪問內部指針，編譯器自動管理加鎖和解鎖，從而避免了大量相關bug。他估計，這一特性可直接消除60%的內核bug。

即使Rust明天消失，Kroah-Hartman認為它已迫使內核清理C代碼和接口。他提到，內核團隊從Rust借鑑了“守衞”和範圍鎖等概念，使得C代碼更安全、更易審查。目前，Linux內核有約36萬行C代碼和11.3萬行Rust代碼，後者主要是綁定層。Rust-for-Linux團隊的工作還重塑了驅動程序接口，使驅動編寫更簡單且不易出錯。

Kroah-Hartman強調了“所有輸入都是惡意的”原則，並介紹了Rust中的“未信任”類型包裝器和驗證方法，這將強制在數據從不可信變為可信時進行顯式驗證。他認為，這一機制結合其他措施，有望消除80%的CVE。但他也承認Rust並非銀彈，首個合併到內核的Rust模塊（QR碼顯示邏輯）就曾出現內存錯誤。

關於內核重寫，Kroah-Hartman明確表示不鼓勵重寫現有C代碼，而是專注於新功能和新硬件支持。例如，安卓的Binder IPC機制將同時保留C和Rust實現，直到Rust版本達到功能對等後淘汰C版本。未來一兩年內，新硬件驅動將大量採用Rust編寫。他透露，安卓手機即將採用Rust編寫的Binder代碼，覆蓋數十億台設備。

內核維護者去年已達成共識：“Rust實驗已經結束，這不是實驗，這是真的。”Kroah-Hartman總結道：“Linux是進化，不是智能設計。隨着時間的推移，Rust將成為內核的一部分。讓我們全速前進，一如既往，世界統治正在推進。”