Лінус Торвальдс: список безпеки Linux майже заблокований через нескінчені ШІ-баг-репорти — Лінус Торвальдс. Фото: The Register / Reddit

Лінус Торвальдс, засновник Linux, у своєму останньому звіті про стан ядра заявив, що “безперервний потік ШІ-звітів фактично зробив список безпеки майже повністю некерованим, з величезною кількістю дублювання через те, що різні люди знаходять одні й ті самі речі тими самими інструментами”, як повідомляє The Register.

“Документація може бути трохи менш різкою, ніж я”, — сказав Торвальдс.

Це, ймовірно, не стосується таких речей, як експлойт “Copy Fail”, який був виявлений за допомогою ШІ і зачепив майже всі дистрибутиви Linux.

“Тому, щоб було максимально зрозуміло: якщо ви знайшли баг за допомогою ШІ-інструментів, велика ймовірність, що хтось інший уже його знайшов”, — підкреслив він.

Він назвав дублікати баг-репортів “абсолютно марною роботою”, зазначивши:

“Ми даємо зрозуміти, що баги, виявлені ШІ, за визначенням не є секретними, і розглядати їх у якомусь приватному списку — це марна трата часу для всіх учасників, яка лише збільшує дублювання, бо автори навіть не бачать звітів один одного.”

Треба зауважити, що у Linux-екосистемі обробка вразливостей і багів централізована навколо kernel security team та mailing list (зокрема security@kernel.org). Потік повідомлень там і без ШІ завжди був високим, тому будь-яке збільшення кількості “сирих” звітів одразу створює вузьке місце на етапі тріажу — коли мейнтейнерам потрібно визначити, чи це реальна вразливість, дубль чи шум, перш ніж запускати процес виправлення або присвоєння CVE.

“ШІ-інструменти чудові, але тільки якщо вони справді допомагають, а не створюють непотрібний біль і безглузду “роботу для вигляду”. Використовуйте їх, але так, щоб це було продуктивно і покращувало процес”, — додав Торвальдс.

Фактично проблема дублювання не нова для ядра Linux: ще до масового використання ШІ подібний ефект створювали автоматизовані fuzzing-системи, зокрема syzbot. Вони теж генерують велику кількість схожих або повторюваних баг-репортів. Різниця зараз у тому, що ШІ-інструменти підвищили кількість “людських” звітів, які часто не додають нової технічної інформації поверх того, що вже було знайдено автоматичними системами.

“Якщо ви справді хочете додати цінність, прочитайте документацію, створіть патч і додайте реальну цінність поверх того, що зробив ШІ”, — підсумував Торвальдс.

Лінус Торвальдс історично послідовно виступає за те, щоб внесок у ядро був максимально практичним: не просто повідомлення про проблему, а робочий патч або принаймні чітко відтворюваний кейс із технічними деталями. Це частина його більш загальної філософії керування проєктом Linux — мінімізувати “шум” у комунікаціях і залишати тільки те, що напряму прискорює інтеграцію виправлень у кодову базу.