ИИ стал находить больше — и шуметь тоже

Линус Торвальдс резко высказался о новой проблеме вокруг ядра Linux: закрытый список рассылки по безопасности стал «почти полностью неуправляемым» из-за потока отчётов, найденных с помощью ИИ-инструментов. Речь не о том, что все такие находки плохие. Наоборот, часть из них действительно указывает на реальные ошибки.

Проблема в другом: разные исследователи запускают похожие инструменты, находят одни и те же места в коде и отправляют отчёты в приватный канал. Мейнтейнеры получают не один полезный сигнал, а десятки похожих писем, часть из которых уже обсуждалась или была исправлена.

Коротко: ИИ снизил стоимость поиска потенциальных багов, но стоимость проверки всё ещё лежит на людях.

Почему приватный список перестал справляться

Закрытый security-список нужен для чувствительных уязвимостей: принять сообщение, спокойно разобраться, подготовить исправление и не раскрывать проблему раньше времени. Но AI-найденные баги часто не являются секретом в привычном смысле. Если один инструмент легко нашёл ошибку, её почти наверняка найдут и другие.

Из-за приватности авторы не видят, что тот же отчёт уже присылали. В итоге они честно думают, что помогают, а мейнтейнеры снова и снова разбирают один и тот же случай.

Мейнтейнер Willy Tarreau ещё в марте описывал рост нагрузки: раньше security-список получал примерно 2–3 отчёта в неделю, затем около 10 в неделю, а с начала 2026 года — уже 5–10 отчётов в день. Причём многие из них корректные, но поток стал слишком плотным для нормальной ручной обработки.

Что теперь меняют

Сообщество Linux предлагает отправлять AI-найденные проблемы не в приватный security-список, а публично нужным мейнтейнерам. Так проще увидеть дубликаты, обсудить реальную важность находки и не тратить время на пересылку писем между закрытыми каналами.

Одновременно повышаются требования к качеству. Нужен не сырой вывод модели, а понятное описание: где ошибка, как её воспроизвести, почему она важна именно как уязвимость, и желательно — патч.

ИИ может подсказать место в коде, но вкладом это становится только после человеческой проверки.

Это важная смена акцента. Сам факт «модель что-то нашла» больше не выглядит достаточным основанием для срочного security-репорта.

Это проблема не только Linux

Похожий шум уже переживали другие open source-проекты. Создатель curl Даниэль Стенберг писал, что в 2025 году около 20% security-сообщений по curl выглядели как AI slop — автоматические или плохо проверенные отчёты, которые отнимают время у команды. Доля настоящих уязвимостей среди всех заявок при этом была низкой.

На фоне таких историй Linux Foundation вместе с крупными технологическими компаниями объявила о $12,5 млн финансирования для OpenSSF и Alpha-Omega. Цель — помочь open source-проектам справляться с новой волной AI-enhanced и AI-generated vulnerability reports.

Где проходит граница пользы

ИИ-инструменты действительно могут быть полезны в поиске ошибок. Более того, жалобы мейнтейнеров часто звучат не как «ИИ всё испортил», а как «люди отправляют результаты без должной работы». Разница важная.

Если исследователь проверил находку, понял модель угроз, написал воспроизводимый пример и предложил исправление — это помощь. Если он просто переслал вывод сканера, это перекладывание работы на мейнтейнеров.

Для open source такая нагрузка особенно болезненна. В ключевых проектах и так не хватает людей, а теперь им приходится сортировать не только баги, но и дубликаты, полуготовые отчёты и спорные «уязвимости».

Итог

История с Linux показывает новый дисбаланс: ИИ резко удешевил поиск подозрительных мест в коде, но не удешевил проверку, обсуждение и исправление. Старые процессы security disclosure были рассчитаны на редкие и хорошо подготовленные отчёты, а не на массовый поток похожих находок. Поэтому ценность смещается от «нашёл баг» к «разобрался, доказал и помог исправить». Linux-сообщество фактически говорит простую вещь: не приносите людям сырой результат машины и не называйте это вкладом. Хороший отчёт начинается там, где человек берёт ответственность за проверку, контекст и исправление.

Источник: CNews Tom’s Hardware The Verge