Linus Torvalds (twórca Linuksa) wkurzył się na bezsensowne wykorzystanie narzędzi AI do zgłaszania podatności w jądrze Linuksa.

Linus przy przy okazji publikacji kolejnego wydania jądra (7.1 RC4), odniósł się do zgłaszania podatności w jądrze przy użyciu narzędzi AI:

• Masa zgłoszeń to duplikaty (“Jak AI znalazło Ci buga to jest szansa, że komuś innemu znalazło dokładnie tego samego buga”)
• Obecnie większość zgłoszeń to zwykłe bugi, a nie podatności [ciężko to rozróżnić AI, jeśli nie zna większego kontekstu]

Linus stwierdził, też że nie ma sensu traktować takich zgłoszeń jako “poufne” (jak to normalnie bywa ze zgłoszonymi podatnościami – zanim zostanie wydana łatka).

To ułatwi koordynację pomiędzy różnymi osobami utrzymującymi Linux Kernel. Ułatwi to też sprawdzenie po stronie zgłaszającego – czy ktoś tego już nie analizuje/naprawia. Z drugiej strony jeśli jakaś rzeczywiście gruba, zgłoszona podatność nagle stanie się publiczna – to możemy mieć problem

Dodatkowo:

• lista dyskusyjna do zgłoszeń security stała się “niezarządzalna” przez “nalot raportów tworzonych przez AI”
  
  the continued flood of AI reports has basically made the security list almost entirely unmanageable, with enormous duplication due to different people finding the same things with the same tools. People spend all their time just forwarding things to the right people or saying “that was already fixed a week/month ago” and pointing to the public discussion.

Linus sugeruje żeby zgłaszać bugi od razu z pewną ręczną analizą + propozycją ręcznie opracowanej łatki, a nie na wariata wysyłać zgłoszenia w pełni wygenerowane przez AI. Zaznacza też, że narzędzia AI są super, tylko trzeba ich używać sensownie – a nie na totalnego lenia, tj. forwardując bez minuty myślenia materiał wygenerowany przez AI.

[dla uważnych. tylko dla pierwszych 4 osób. z tym linkiem masz -73% na nowe szkolenie sekuraka o sensownym i bezpiecznym wykorzystaniu narzędzi AI w pracy admina. kto pierwszy ten lepszy :]

~ms