Линус Торвальдс: список уязвимостей Linux стал «неуправляемым» из-за отчётов, сгенерированных ИИ
Основатель Linux Линус Торвальдс заявил, что поток отчётов об уязвимостях, обнаруженных с помощью инструментов искусственного интеллекта, привёл к тому, что рассылка по безопасности ядра Linux стала «почти полностью неуправляемой». Об этом он написал в своём последнем сообщении о состоянии ядра, как сообщает The Register.
По словам Торвальдса, проблема вызвана «огромным дублированием»: разные люди находят одни и те же ошибки с помощью одних и тех же ИИ-инструментов. Он подчеркнул, что такие отчёты зачастую поступают без предложенных исправлений и не добавляют реальной ценности.
«Возможно, это не относится к таким случаям, как эксплуатация „Copy Fail“, которая была обнаружена при помощи ИИ и затронула почти все дистрибутивы Linux», — отметил он, имея в виду недавно выявленную уязвимость.
Торвальдс добавил: «Документация может быть немного менее прямолинейной, чем я. Поэтому давайте проясним: если вы нашли ошибку с помощью ИИ-инструментов, скорее всего, кто-то другой уже нашёл её тоже». Он назвал подобные дублирующиеся отчёты «абсолютно бессмысленной суетой» и пояснил:
«Мы чётко даём понять: ошибки, обнаруженные ИИ, по определению не являются секретными. Обработка их в рамках закрытого списка — пустая трата времени для всех участников и лишь усугубляет дублирование, поскольку авторы отчётов не видят друг друга».
Он подчеркнул, что ИИ-инструменты полезны, но только если они действительно помогают, а не создают «ненужные страдания и бессмысленную имитацию работы». «Свободно используйте их, но делайте это продуктивно и так, чтобы улучшать общий опыт», — призвал Торвальдс.
Он также призвал исследователей не ограничиваться поверхностными отчётами: «Если вы действительно хотите принести пользу, прочитайте документацию, подготовьте патч и добавьте реальную ценность поверх того, что сделал ИИ. Не будьте тем, кто просто отправляет случайный отчёт без настоящего понимания».
Подобную позицию недавно выразил старший инженер по безопасности продуктов GitHub Джаром Браун. Он отметил, что компания «не имеет ничего против ИИ-инструментов в целом», но подчёркивает необходимость проверки отчётов, созданных с их помощью.
«Обнаружение с участием ИИ, которое было проверено, воспроизведено и представлено с рабочим доказательством концепции, — отличная заявка. А вот непроверенный вывод, отправленный как есть, без воспроизведения или демонстрации воздействия, — нет. Если вы делали ставку на объём, мы рекомендуем переключиться на глубину. Одна тщательно исследованная и подтверждённая находка стоит больше, чем десять спекулятивных — как с точки зрения вознаграждения, так и репутации. Наибольший доход в нашей программе получают те, кто копает глубоко».
Поделиться
