明尼苏达大学为向Linux项目提供恶意代码道歉

明尼苏达大学的研究人员于星期六向Linux内核项目的维护者道歉，故意在项目代码中包括漏洞，这导致学校被禁止在未来对开源项目做出贡献。

“虽然我们的目标是提高Linux的安全性，但我们现在明白，将其作为我们研究的主题，并在未经其知情或许可的情况下浪费精力审查这些补丁，是对社区的伤害，”助理教授卢康杰以及研究生吴秋实和阿迪蒂亚·帕克基在一封电子邮件中说。

他们补充说：“我们这样做是因为我们知道我们不能向Linux的维护者申请许可，否则他们会注意伪善的补丁。”。

在道歉之前，今年2月早些时候发表了一项关于所谓“伪君子行为”的研究。该项目旨在以安全研究的名义，故意在Linux内核中添加释放后使用漏洞，显然是为了强调潜在的恶意代码可能如何通过审批流程，并因此提出改进修补流程安全性的方法。

学术界此前于2020年12月15日共享的一份澄清文件称，该大学的机构审查委员会（IRB）审查了该研究，并确定该研究不是人类研究，只是为了回溯，补充道：“在整个研究过程中，我们诚实地认为这不是人类研究，所以我们一开始没有申请IRB批准。我们为提出的担忧道歉。”

虽然研究人员声称“我们没有在OSS中引入或打算引入任何bug或漏洞”，但出现了相反的证据—；暗示研究是在没有充分监督的情况下进行的—；并对内核的安全性构成了风险，导致单方面禁止任何人使用“umn.edu”电子邮件地址提交代码，此外还使大学研究人员过去提交的所有代码无效。

Linux内核维护人员Greg Kroah Hartman在上周的一次交流中说：“我们的社区不喜欢通过提交已知补丁来进行试验和‘测试’，这些补丁要么是故意不做任何事情，要么是故意引入bug。”。

事件发生后，该大学计算机科学与工程系表示，正在调查事件，并补充说，正在调查“研究方法和该研究方法获得批准的过程，确定适当的补救措施，并防范未来的问题。”

杰瑞德·弗洛伊德（Jered Floyd）在推特上写道：“这比只是试验更糟糕；这就像说你是一名‘安全研究员’，去杂货店，切断所有汽车上的刹车线，看看有多少人在离开时撞车。这极不道德。”。

同时，大学研究人员和教员提交给代码库的所有补丁都将被恢复并重新审查，以验证它们是否是有效的补丁。