为写论文，美国华人教授故意向Linux提交200个安全漏洞，结果整所大学被封杀（组图）

最近，Linux操作系统（从手机到主要系统server，到处都在用的操作系统）惊现的200+个bug（恶意代码），让美国码农圈炸了。

开发和维护Linux操作系统的技术大神Greg Kroah-Hartman，不仅直接爆粗，甚至把美国明尼苏达大学拉进黑名单了，并放言：“以后明尼苏达大学提交的代码，都！不！再！接！受！”

图片来源于lore.kernel，版权属于原作者

这还没完，为了表达自己态度坚决，Greg还一口气，将明尼苏达大学以前提交的代码全部作废，表示以后要挨个审查。

闹这么大，这到底是咋了啊?这一切的一切，还得从明尼苏达大学的华人助理教授Kangjie Lu和他的博士生Qiushi Wu说起。原来Lu教授和博士生Wu在这几年内，连续向Linux Kernel发送了 200 多个有bug的恶意代码。背后的原因，竟是为了测试开源社区的审查能力，完成一篇探讨开源社区安全漏洞的论文。

图片来源于github，版权属于原作者

刚开始，Linux的维护人员对这波操作，没怎么注意。然后，重点来了。别人没发现，但他们自！爆！了！在去年11月，Kangjie Lu 教授将他们这篇论文的摘要，发到了twitter上，一下引起多方的质疑。

摘要中，作者提及，论文的重点是研究在Linux内核为例的开源代码中植入“恶意或不安全的”代码导致的安全风险。虽然整个过程都是以研究的目的，但要知道，这种"恶意"代码，对于Linux官方代码库来说，都是安全漏洞。也就是说，这些代码完全没有价值的。

图片来自hothardware

这可把维护人员惹火了。

“我们每天都得审查几百个代码，忙的团团转，他们却为了自己写论文，把我们当工具人，拿来做试验？？太自私了，这白白浪费我们的时间”眼看形势不对，随后Lu 教授就将这篇摘要删了。

然后对自己的研究，做了声明：1.我们从来没有在提交的代码中合并 bug，这篇论文正在论证这类问题存在的可能性；2.我们的做法是这样的：首先发现真正的 bug A，然后提交补丁 A 来修复 bug A，这也将引入 bug B；所以，我们还会在合并 bug B 之前提交补丁 B 来修复它。换句话说，我们通过两步来修复 bug A。3.在提交前，这些发现已经提前报告给了 Linux维护人员；4.我们没有对任何 Linux 用户造成伤害，实际上我们还修复了这些 bug；5.本研究的目的是通过提高人们对补丁问题的认知来改进修补过程，从而激励人们开发自动补丁检测/验证工具。

可能担心这样的解释不够正式，12月Lu教授研究团队还发表了一份正式声明。

图片来源于www-users.cs.umn.edu，版权属于原作者

表示他们研究的目的是为了提高开源软件的安全性。所有的补丁建议都是通过电子邮件交流提出来的，从来没有合并进任何代码分支和Linux内核中。

总之一句话，就是这项研究没有恶意。目的只是为了改进Linux内核。

对于研究浪费了审查人员的时间，研究团队也是倍感抱歉。

态度诚恳，也表明了是研究目的。虽然为了研究的试验，操作过程确实有点恶心Linux审查人员，但也不至于让整个明尼苏达大学，一起被拉黑啊！

其实，Lu 教授论文这事也就只是一个引子。真正引爆整个Linux 社区的是，明尼苏达大学一名叫Aditya Pakki的在读博士生。今年4月，Aditya Pakki向Linux内核提交了一个小补丁。这个看似简单的补丁，却一下引起了众多大佬关注。在经过谷歌首席软件工程师、Linux内核社区的贡献者之一Al Viro的审查后。

图片来源于twitter，版权属于原作者

这个代码有问题。而在起底Aditya Pakki的背景后，Linux社区成员发现，这Aditya Pakki不就正是，之前“有前科”的Kangjie Lu教授小组成员嘛？这难道是在历史重演？根据之前的种种，Linux社区成员认定Aditya Pakki提交的补丁，具有恶意。于是，将它们全部移除。BUT对于Linux社区成员的指责，Aditya Pakki 可不认，直接表示“”这些看法是先入为主，都是诽谤。”“我发送补丁只是为了得到反馈，但是鉴于你们对新人以及非专家的恶劣态度，我以后不会在发送任何补丁。”

图片来源于bleepingcomputer，版权属于原作者

这样毫无歉意的回复，一下就惹毛了Linux内核管理员Greg。那就别怪我不客气了。一怒之下，Greg直接表示，禁止明尼苏达大学对Linux提交代码，之前他们的提交的代码全部作废，因为它们显然是恶意提交的。

图片来源于lore.kernel，版权属于原作者

我们有太多的工作要做，Linux内核开发人员不喜欢被试验。

一个小组惹的祸，竟让整个学校来背锅。

这样的结果，事件主角之一的Lu 教授也是没想到。为了澄清事实，Lu 教授随后出来发了声。上次关于“分析开源软件漏洞”的研究，已在2020年11月完成。Aditya这次在补丁中发现的bug，来自一个新项目，并非有意为之。

随后，明尼苏达大学计算机科学与工程系官方也出来，表示将调查此事。我们非常重视这一情况，我们立即暂停了这项研究，将调查研究方法和审核过程，以采取适当的补救方法，以防止未来再出现问题。

而另一边，业内人士，对于Linux内核管理员Greg的重罚，意见也不一致。一方面，大部分Linux社区的开发者和管理员，认为这种研究本身就是不道德的。这已经不是简单的试验了，就像你自称“安全研究员”，然后去商店切断所有汽车的刹车线，然后看有多少人在离开时会发生车祸。

但也有人认为这“禁止”，是不是有点太苛刻。

开源安全公司总裁Brad Spengler就表示，去年包括自己在内的多人，就提醒过Linux内核维护者，这些代码可疑了。现在才行动，是不是有点“过度反应“”了。

网友评论：

--他是国内杀毒公司毕业的吗

--好像是在做一个社会学实验，毁灭社会的互信。

--还好提交的是恶意代码，不是恶意病毒。

--这思路太古怪了，匪夷所思啊，自己造bug解bug发文章。

--这不就是去饭店投毒然后美其名曰帮你们测试你们的保安系统吗？！

--penetration test有自己业界的规则，不能像他这样胡搞

--为了测试刹车系统的安全，直接找人撞，你不能说在撞之前刹住了，没死人就皆大欢喜了。

--问城市管理部门我能不能向路边的公众饮水机投放巴豆。管理员说不行，你这是在胡闹，然后继续问。原因是这个人想在知乎写高赞答案“想公众饮水机投放巴豆，城市管理者会如何处置”。如今，争吵还在继续，接下来怎么发展，to be continued...