Торвальдс: ШІ перевантажує звіти про баги ядра Linux
Лінус Торвальдс: ШІ-звіти про баги перевантажують ядро Linux
Лінус Торвальдс, творець ядра Linux, висловив занепокоєння щодо зростаючого потоку звітів про вразливості, згенерованих штучним інтелектом. У своєму останньому звіті про стан ядра він заявив, що «безперервний потік ШІ-звітів фактично зробив список безпеки майже повністю некерованим, з величезною кількістю дублювання через те, що різні люди знаходять одні й ті самі речі тими самими інструментами». Про це повідомляє видання The Register.
Торвальдс, відомий своєю прямолінійністю, додав, що «документація може бути трохи менш різкою, ніж я». Проте він наголосив, що його критика навряд чи стосується таких випадків, як експлойт «Copy Fail», який був успішно виявлений за допомогою ШІ та торкнувся майже всіх дистрибутивів Linux.
«Щоб було максимально зрозуміло: якщо ви знайшли баг за допомогою ШІ-інструментів, велика ймовірність, що хтось інший уже його знайшов», — підкреслив Торвальдс.
Проблема дублювання та марна робота
Він назвав дублікати баг-репортів «абсолютно марною роботою». Торвальдс пояснив: «Ми даємо зрозуміти, що баги, виявлені ШІ, за визначенням не є секретними, і розглядати їх у якомусь приватному списку — це марна трата часу для всіх учасників, яка лише збільшує дублювання, бо автори навіть не бачать звітів один одного.»
У екосистемі Linux обробка вразливостей і багів централізована навколо команди безпеки ядра та списку розсилки (зокрема, [email protected]). Потік повідомлень у цьому списку завжди був високим, навіть без ШІ. Будь-яке збільшення кількості «сирих» звітів одразу створює вузьке місце на етапі тріажу. На цьому етапі мейнтейнерам необхідно визначити, чи є повідомлення реальною вразливістю, дублікатом або просто шумом, перш ніж запускати процес виправлення або присвоєння CVE (Common Vulnerabilities and Exposures).
Цінність ШІ-інструментів та шлях до продуктивності
«ШІ-інструменти чудові, але тільки якщо вони справді допомагають, а не створюють непотрібний біль і безглузду “роботу для вигляду”. Використовуйте їх, але так, щоб це було продуктивно і покращувало процес», — додав Торвальдс.
Проблема дублювання не є новою для ядра Linux. Ще до масового використання ШІ подібний ефект створювали автоматизовані системи фазингу, такі як syzbot, які також генерували велику кількість схожих або повторюваних баг-репортів. Однак, наразі ШІ-інструменти значно підвищили кількість «людських» звітів, які часто не додають нової технічної інформації до того, що вже було знайдено автоматичними системами.
Лінус Торвальдс підсумував свою позицію, закликаючи до більш конструктивного підходу: «Якщо ви справді хочете додати цінність, прочитайте документацію, створіть патч і додайте реальну цінність поверх того, що зробив ШІ.»
Історично Торвальдс послідовно виступає за те, щоб внесок у ядро був максимально практичним. Це означає не просто повідомлення про проблему, а надання робочого патча або, принаймні, чітко відтворюваного кейсу з детальними технічними характеристиками. Це є частиною його загальної філософії управління проєктом Linux — мінімізувати «шум» у комунікаціях та зосереджуватися лише на тому, що безпосередньо прискорює інтеграцію виправлень у кодову базу.
