关于 xz backdoor 的观点

一位自称 Jia Tan 的开发者，花了三年时间，取得开源软件 xz 社区信任，谨慎地植入了一个后门，可以让攻击者无需账号也能通过 sshd 进入系统。如果成功，大多数 Linux 系统（也就是大多数公司的服务器使用的操作系统）都会受到影响。最后功亏一篑——因为程序没写好，系统资源占用过高，被一位认真的工程师分析并发现。这几天网上有很多技术分析（我看不懂）和讨论，说说我的观点。1. 这次事件，其实正好证明了开源界常说的：只要有足够的眼睛关注，任何漏洞都无处藏身。2. 任何软件，而不仅仅是开源软件，会受到这样的攻击。商业产品中被发现后门的事件，历史上发生过不止一次。3. 未来的 AI 或许有机会帮助检查出类似构造巧妙的后门和漏洞。4. 开发者们可能会面临一小波信任危机——要取得社区的信任，以后或许会更加艰难一些。而 ………………………………