吐槽Go语言:没有线程安全就没有内存安全

banq

如今,内存安全风靡一时。但这个术语究竟是什么意思呢?要明确它的含义比你想象的要难得多。通常,人们用这个术语来指代那些确保程序中不存在“释放后使用”或越界内存访问的语言。这通常被视为与其他安全概念(例如线程安全)的区别,线程安全指的是程序不存在某些类型的并发错误。然而,在本文中,我将论证这种区别并非那么有用,我们真正希望程序拥有的特性是没有“未定义行为”。


想象一下,你和你最好的朋友小明,约好了一起玩一个超酷的“变形金刚”游戏。

这个游戏的规则是这样的:

1.  你(小明) 是一个“安全卫士”,你手里拿着一个遥控器,上面写着“内存安全”。这玩意儿号称能保证你的机器人绝对不会出现“零件乱装”(比如把头安在脚上)或者“乱拆零件”(比如拆了腿还硬要走路)这种低级错误。听起来是不是特别牛?就像学校里那个号称“从不迟到”的学霸。

2.  你的机器人 就像编程语言里的一个“接口”(Interface)。它很神奇,可以在“整数机器人”(Int)和“指针机器人”(Ptr)之间来回变身。

    *   整数机器人:脑袋上顶着一个数字,比如 42
    *   指针机器人:手里拿着一把钥匙,这把钥匙能打开一个装着数字的保险箱。

3.  变身的秘诀:这个机器人变身不是瞬间完成的!它需要两步
    *   第一步:先换“大脑”(vtable),告诉机器人“你现在是哪种类型”。
    *   第二步:再换“身体”(data),告诉机器人“你的具体数据是什么”。


好戏开始:多线程的“车祸现场”

现在,你和小明决定搞点刺激的——多线程

*   线程1(小明负责):他的任务是不停地按变身按钮!他手速快如闪电,疯狂地把机器人在“整数机器人”和“指针机器人”之间来回切换。他不管什么先后顺序,反正就是“啪!啪!啪!”地换。
*   线程2(你负责):你的任务是不停地按“行动”按钮!你每次按下去,机器人就会根据它当前的“大脑”来执行动作。

    *   如果大脑是“整数机器人”,它就会说:“我的数字是42!”(return s.val
    *   如果大脑是“指针机器人”,它就会说:“用我手里的钥匙,打开保险箱,看看里面是啥!”(return *s.val


“薛定谔的机器人”引发的血案

问题就出在小明手太快了!他按变身按钮的时候,两步操作不是原子的(不是一气呵成的)。这就导致了一个“时空裂缝”——

就在小明换完“大脑”但还没来得及换“身体”的那一瞬间!

你恰好按下了“行动”按钮!

这时,机器人就变成了一个“缝合怪”:

*   大脑:是“指针机器人”的大脑!它坚信自己手里有一把钥匙。
*   身体:还是“整数机器人”的身体!它脑袋上顶着数字 42

于是,悲剧发生了!

“指针机器人”的大脑命令道:“快,用钥匙打开保险箱!

可是,它的“钥匙”在哪里?它的“钥匙”就是它脑袋上的那个数字 42!在机器人世界里,42 不是一个数字,它被当成了一个内存地址

所以,机器人拿着 42 这把“钥匙”,就去尝试打开地址为 0x2a(42的十六进制)的保险箱。

结果呢?

那个地址根本就不是什么保险箱!那是一片无人区!是电脑的“禁区”!机器人一脚踏进去,直接“段错误”(Segmentation Fault)!电脑大喊一声:“非法访问!你小子想干嘛?” 然后程序当场“嘎嘣”一声,死机了!

> 原文里的 panic: runtime error: invalid memory address or nil pointer dereference 就相当于电脑的惨叫:“救命啊!有人拿42当钥匙去开不存在的门啊!”


关键来了:谁是“内存安全”?

你可能会说:“这不就是小明(线程1)乱来导致的吗?是线程不安全吧?我的‘内存安全’遥控器没坏啊!”

错!大错特错!

作者在这里就啪啪打脸了:“没有线程安全,哪来的内存安全?

*   Java、C#、JavaScript 这些“优等生”是怎么做的?它们规定:就算小明手再快,变身过程也必须是‘原子’的! 要么完整变身,要么就不变。你永远不可能造出那个“大脑是A,身体是B”的缝合怪。所以,就算有竞争,机器人也顶多是“反应慢了点”,但绝对不会“走火入魔”去干违法乱纪的事。它们是真·安全
*   Rust、Swift 这些“学霸”更狠!它们直接在变身前就警告小明:“你这么搞会出人命的!” 它们的“遥控器”(类型系统)太强了,能提前发现这种危险操作,直接不让你按那个“变身”按钮,除非你用更安全的方式(比如加个“防护罩”/锁)。
*   而Go语言(Golang)呢? 它就像一个“人设崩塌的学霸”。它整天宣传自己“内存安全”,是“安全卫士”。结果呢?它允许小明用“非原子”的方式变身!它自己也知道这很危险,所以它给了你一个“事后侦探工具”(go run -race),专门用来事后抓小明的现行

这就好比一个学校,校长天天说“我们学校绝对安全”,结果呢?他不装监控(不强制原子操作),也不禁止学生翻墙(不强制加锁),而是指望保安(-race 工具)能在学生翻墙后立刻抓住他。问题是,万一保安没看到呢?万一学生翻墙的时候保安正好去上厕所了呢?

所以,作者说:Go语言的“内存安全”是有巨大漏洞的!它的安全承诺是:“只要你别搞多线程数据竞争,我就安全。” 这就像说:“只要你不吃饭,你就永远不会被噎着。” 听起来是不是特别荒谬?


总结陈词:什么才是真正的“安全”?

作者最后说:别管什么“内存安全”、“线程安全”这些花里胡哨的词了!真正的安全,就是你的程序永远别出现“未定义行为”(Undefined Behavior)!

什么叫“未定义行为”?就是程序干了它“本不该干”的事,比如:

*   拿数字 42 当成内存地址去访问。
*   拆了房子的墙还假装墙存在。
*   让机器人拿着自己的脑袋当钥匙去开门。

一旦出现这种“发疯行为”,整个程序就失控了。这时候,黑客就有机可乘,可能让你的程序去执行他藏在某个角落的恶意代码,就像让机器人突然开始跳反派的舞蹈。

所以,Go语言因为允许数据竞争导致未定义行为,所以它不能算一个“完全安全”的语言。虽然它比C/C++这种“街头混混”文明多了,但跟Java、Rust这些“三好学生”比,它还有明显的“短板”。

一句话总结:一个连多线程都能把自己搞疯的语言,还好意思说自己“内存安全”?这人设,塌得比多米诺骨牌还快!