由于 Mersenne Twister 引擎上的负索引，libstdc++ std::random 上的未定义行为（根据 clang -fsanitize=integer）

我在 Ubuntu 20.04 LTS 上使用 clang++ 10，-fsanitize-undefined-trap-on-error -fsanitize=address,undefined,nullability,implicit-integer-truncation,implicit-integer-arithmetic-value-change,implicit-conversion,integer

我的代码正在生成随机字节

    std::random_device rd;
    std::mt19937 gen(rd());
    std::uniform_int_distribution<uint8_t> dd(0, 255);
    ...
    ch = uint8_t(dd(gen));

最后一行导致消毒程序报告未定义的行为位于bits/random.tcc中

template<...> void  mersenne_twister_engine<...>::
    _M_gen_rand(void)   {
      const _UIntType __upper_mask = (~_UIntType()) << __r;
      const _UIntType __lower_mask = ~__upper_mask;

      for (size_t __k = 0; __k < (__n - __m); ++__k)
      {
         _UIntType __y = ((_M_x[__k] & __upper_mask)
               | (_M_x[__k + 1] & __lower_mask));
         _M_x[__k] = (_M_x[__k + __m] ^ (__y >> 1)
               ^ ((__y & 0x01) ? __a : 0));
      }

      for (size_t __k = (__n - __m); __k < (__n - 1); ++__k)
      {
          _UIntType __y = ((_M_x[__k] & __upper_mask)
                   | (_M_x[__k + 1] & __lower_mask));
          _M_x[__k] = (_M_x[__k + (__m - __n)] ^ (__y >> 1)  <<<<===== this line
               ^ ((__y & 0x01) ? __a : 0));
      }

      _UIntType __y = ((_M_x[__n - 1] & __upper_mask)
               | (_M_x[0] & __lower_mask));
      _M_x[__n - 1] = (_M_x[__m - 1] ^ (__y >> 1)
               ^ ((__y & 0x01) ? __a : 0));
      _M_p = 0;
    }

错误如下：

/usr/include/c++/10/bits/random.tcc:413:33: runtime error: unsigned integer overflow: 397 - 624 cannot be represented in type 'unsigned long'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior /usr/include/c++/10/bits/random.tcc:413:33 in 
/usr/include/c++/10/bits/random.tcc:413:26: runtime error: unsigned integer overflow: 227 + 18446744073709551389 cannot be represented in type 'unsigned long'
SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior /usr/include/c++/10/bits/random.tcc:413:26 in

看来是有区别的__m-__n == 397 - 624这显然是负数，但操作数都是无符号的。

被减去的变量是定义为的模板参数size_t __n, size_t __m所以这不是随机的边缘情况，而是正在实现的实际模板。

这是 STL 实现中的错误还是我的用法错误？

一个最小的可重现示例：https://godbolt.org/z/vvjWscPnj https://godbolt.org/z/vvjWscPnj

更新：向 GCC 提交问题（不是错误）https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106469 https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106469- 关闭为“不会修复”

GCC 团队称 clang 的 ubsan 无符号整数溢出检查是不好的做法，因为该行为在 ISO C++ 中是明确定义的（作为模换行）。尽管 PRNG 中使用了模运算，但在本例中并非如此。

然而，在大多数用户空间代码中，未签名的溢出is几乎总是有一个错误需要被捕获，而 GCC 的 STL 上的这个非错误会阻止用户从这项有用的检查中受益。

尽管正如其他答案所示，实例化每个标准是未定义的行为std::uniform_int_distribution with uint8_t模板参数，这里的 UBsan 警告与此无关。

UBSan 正在标记梅森扭曲器本身的实现，但该实现没有任何未定义的行为或错误。

如果你仔细观察，你会发现令人反感的表达方式是

_M_x[__k + (__m - __n)]

where __k是一个范围内的值(__n - __m) to (__n - 1)通过for loop.

这些操作涉及的所有类型都是std::size_t这是未签名的。因此，这些运算都使用模算术，因此即使__m - __n是负数并且不能用无符号类型表示，结果为

__k + (__m - __n)

将位于之间0 and __m - 1，因此用它索引数组不是问题。不涉及未定义的行为、未指定的行为或实现定义的行为。

标记此行为的 UBSan 检查并未标记实际的未定义行为。如果人们意识到这一点，那么依赖像这样的无符号算术的环绕行为是完全可以的。无符号溢出检查仅用于标记非故意的此类环绕实例。您不应该在可能依赖它的其他人的代码上使用它，或者如果您可能依赖它，也不应该在您自己的代码上使用它。

In -fsanitize=address,undefined,nullability,implicit-integer-truncation,implicit-integer-arithmetic-value-change,implicit-conversion,integer除address and undefined启用 UBsan 检查，这些检查不会标记实际的未定义行为，但条件是may在很多情况下都是无意的。默认-fsanitize=undefined由于上述原因，sanitizer 标志默认情况下不会启用无符号整数溢出检查。看https://clang.llvm.org/docs/UndefinedBehaviorSanitizer.html https://clang.llvm.org/docs/UndefinedBehaviorSanitizer.html了解详情。