Лінус Торвальдс: список безпеки Linux майже заблокований через нескінчені ШІ-баг-репорти

Линус Торвальдс, основатель Linux, в своем последнем отчете о состоянии ядра заявил, что «непрерывный поток ИИ-отчетов фактически сделал список безопасности почти полностью неуправляемым, с огромным количеством дублирования из-за того, что разные люди находят одни и те же вещи одними и теми же инструментами», как сообщает The Register.

«Документация может быть немного менее резкой, чем я», — сказал Торвальдс.

Это, вероятно, не касается таких вещей, как эксплойт «Copy Fail», который был обнаружен с помощью ИИ и задел почти все дистрибутивы Linux.

«Поэтому, чтобы было максимально понятно: если вы нашли баг с помощью ИИ-инструментов, велика вероятность, что кто-то другой уже его нашел», — подчеркнул он.

Он назвал дубликаты баг-репортов «абсолютно бесполезной работой», отметив:

«Мы даем понять, что баги, обнаруженные ИИ, по определению не являются секретными, и рассматривать их в каком-то частном списке — это пустая трата времени для всех участников, которая только увеличивает дублирование, потому что авторы даже не видят отчетов друг друга.»

Надо заметить, что в Linux-экосистеме обработка уязвимостей и багов централизована вокруг kernel security team и mailing list (в частности security@kernel.org). Поток сообщений там и без ИИ всегда был высоким, поэтому любое увеличение количества «сырых» отчетов сразу создает узкое место на этапе триажа — когда мейнтейнерам нужно определить, реальная ли это уязвимость, дубль или шум, прежде чем запускать процесс исправления или присвоения CVE.

«ИИ-инструменты замечательные, но только если они действительно помогают, а не создают ненужную боль и бессмысленную «работу для вида». Используйте их, но так, чтобы это было продуктивно и улучшало процесс», — добавил Торвальдс.

Фактически проблема дублирования не нова для ядра Linux: еще до массового использования ИИ подобный эффект создавали автоматизированные fuzzing-системы, в частности syzbot. Они тоже генерируют большое количество похожих или повторяющихся баг-репортов. Разница сейчас в том, что ИИ-инструменты повысили количество «человеческих» отчетов, которые часто не добавляют новой технической информации поверх того, что уже было найдено автоматическими системами.

«Если вы действительно хотите добавить ценность, прочитайте документацию, создайте патч и добавьте реальную ценность поверх того, что сделал ИИ», — подытожил Торвальдс.

Линус Торвальдс исторически последовательно выступает за то, чтобы вклад в ядро был максимально практичным: не просто сообщение о проблеме, а рабочий патч или, по крайней мере, четко воспроизводимый кейс с техническими деталями. Это часть его более общей философии управления проектом Linux — минимизировать «шум» в коммуникациях и оставлять только то, что напрямую ускоряет интеграцию исправлений в кодовую базу.