FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

开源项目面临的补丁维护挑战

保持旧版软件安全通常需要从新版本回移植补丁，这对于Linux内核等大型开源项目而言是项常规但繁琐的工作。来自中国、美国和加拿大的研究团队开发出PortGPT，这个AI系统能自动将安全补丁从主线分支迁移到旧版软件。该方法试图复现开发者手动适配补丁时的推理步骤。

开源项目通过维护不同分支来保障稳定性。当主线分支修复漏洞后，维护者必须将修复方案移植到稳定版和长期支持版本中。这种被称为"回移植"的过程耗时费力，往往需要理解版本间的代码变更差异。随着代码库规模增长，依赖人工操作和专家知识的传统方式会延缓补丁交付速度，导致旧系统暴露在风险中的时间延长。

PortGPT工作流程示意图

让AI模拟开发者思维

PortGPT基于大语言模型构建，通过专用工具集与代码交互。这些工具使其能够访问源文件、查看代码历史记录、定位函数并逐步应用补丁。研究团队观察到，当AI在旧版本中找不到目标函数时，会检索Git历史来追溯函数引入或重命名的时间点；若补丁无法编译，则利用编译器错误信息优化后重新尝试。

论文合著者李朝阳表示："PortGPT集成Git历史主要是为了提升基于LLM的适配可靠性和推理准确性。"该系统通过追踪历史变更，能识别变量重命名或逻辑迁移等可能导致失败的因素，从而智能决策补丁的应用位置和方式。

其工作流程分为两个阶段：首先适配补丁的每个代码块（称为"hunk"），检查变更有效性并收集支持代码片段；然后整合所有适配后的代码块，执行编译测试。若出现错误，系统会分析问题并调整补丁。这种基于上下文和反馈的机制，使其能理解代码关系并推断版本库历史中的缺失细节。

实际测试表现

在近两千个补丁的测试中，PortGPT在既有数据集上达到89.15%的成功率，优于FIXMORPH和TSBPORT等工具。在包含C/C++/Go程序的146个复杂案例中，成功率仍达62.33%。实际应用测试显示，该工具成功为Linux 6.1稳定分支回移植18个补丁中的9个，且全部被社区采纳；在Ubuntu更新测试中，针对多个CVE的16个补丁成功移植了10个。

技术局限与发展前景

研究团队指出，PortGPT的优秀表现部分依赖于成熟开源项目的高质量结构化数据。在提交信息不完整的代码库中，其性能可能下降。李朝阳解释道："这与人类维护者面临的困境类似——糟糕的历史提交记录总会增加回移植的难度。"

与传统基于规则的系统不同，PortGPT将代码回移植视为推理问题，利用语言模型解析代码上下文的能力。研究人员还设计了特殊机制：当文件路径变更时搜索相似文件；上下文行不匹配时采用编辑距离算法定位最近代码块。这项研究揭示了AI改变开源软件补丁管理的可能性，通过自动化回移植缩短漏洞修复周期，同时展现了将大语言模型作为自主Agent用于软件维护的趋势。

参考来源：

PortGPT: How researchers taught an AI to backport security patches automatically

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）