Greg Kroah-Hartman稱Rust將拯救Linux於AI威脅

在荷蘭烏得勒支舉行的Rust Week大會上，Linux穩定核心維護者Greg Kroah-Hartman發表演講，直言Rust將拯救Linux。他指出，隨著AI漏洞檢測工具的出現，大量嚴重安全問題如Dirty Frag、Copy Fail和Fragnesia被曝光，核心團隊目前每天處理約13個CVE。Kroah-Hartman認為，Rust是應對這一局面的現實方案之一。

他展示了核心中C語言錯誤的典型案例：一個存在15年的藍牙bug因未檢查指標解引用而引發問題，一個Xen bug則在錯誤路徑中忘記解鎖。Kroah-Hartman表示，大多數核心bug源於這類“微小、次要的問題”，如錯誤檢查遺漏、鎖未釋放、記憶體洩漏等。而Rust的“最美之處”在於，它能在編譯時而非審查時捕獲這些錯誤。例如，Rust的鎖抽象機制確保只有持有鎖才能訪問內部指標，編譯器自動管理加鎖和解鎖，從而避免了大量相關bug。他估計，這一特性可直接消除60%的核心bug。

即使Rust明天消失，Kroah-Hartman認為它已迫使核心清理C程式碼和介面。他提到，核心團隊從Rust借鑑了“守衛”和範圍鎖等概念，使得C程式碼更安全、更易審查。目前，Linux核心有約36萬行C程式碼和11.3萬行Rust程式碼，後者主要是繫結層。Rust-for-Linux團隊的工作還重塑了驅動程式介面，使驅動編寫更簡單且不易出錯。

Kroah-Hartman強調了“所有輸入都是惡意的”原則，並介紹了Rust中的“未信任”型別包裝器和驗證方法，這將強制在資料從不可信變為可信時進行顯式驗證。他認為，這一機制結合其他措施，有望消除80%的CVE。但他也承認Rust並非銀彈，首個合併到核心的Rust模組（QR碼顯示邏輯）就曾出現記憶體錯誤。

關於核心重寫，Kroah-Hartman明確表示不鼓勵重寫現有C程式碼，而是專注於新功能和新硬體支援。例如，安卓的Binder IPC機制將同時保留C和Rust實現，直到Rust版本達到功能對等後淘汰C版本。未來一兩年內，新硬體驅動將大量採用Rust編寫。他透露，安卓手機即將採用Rust編寫的Binder程式碼，覆蓋數十億臺裝置。

核心維護者去年已達成共識：“Rust實驗已經結束，這不是實驗，這是真的。”Kroah-Hartman總結道：“Linux是進化，不是智慧設計。隨著時間的推移，Rust將成為核心的一部分。讓我們全速前進，一如既往，世界統治正在推進。”