Линус Торвальдс снова жёстко высказался об использовании ИИ в разработке, но на этот раз речь не о генерации кода. Проблема оказалась практичнее: в проект Linux стали массово приходить отчёты об уязвимостях, найденных с помощью AI-инструментов.

По данным источников, поводом стала ситуация вокруг приватного списка рассылки Linux Security. Торвальдс заявил, что из-за потока AI-отчётов он стал почти неуправляемым: разные люди находят одни и те же проблемы одними и теми же инструментами, а затем отправляют повторяющиеся сообщения.

В чём проблема

Сам по себе поиск ошибок с помощью ИИ Торвальдс не отвергает. Его раздражает другое: когда человек отправляет «сырой» отчёт, не проверяет влияние бага, не готовит исправление и не понимает, чем найденная проблема отличается от уже обсуждавшейся.

«AI-инструменты хороши, но только если они действительно помогают, а не создают лишнюю боль и бессмысленную работу».

Смысл этой фразы простой: ИИ может быть полезным помощником, но он не должен превращать мейнтейнеров в сортировщиков автоматически сгенерированных жалоб.

Почему приватный разбор не подходит

Торвальдс отдельно отметил, что ошибки, найденные AI-инструментами, по сути часто не являются секретными. Если один человек нашёл их с помощью модели или автоматического анализа, высок шанс, что другие сделали то же самое.

Из-за приватного канала отчётность становится ещё менее удобной: участники не видят дубликаты, не знают, что проблема уже исправлена или обсуждалась публично, и снова тратят время на пересылку сообщений нужным людям.

Коротко: проблема не в том, что AI находит баги, а в том, что он резко удешевил массовую отправку слабых и повторяющихся отчётов.

Новые правила для отчётов

В ядре Linux уже обновили документацию по обработке security bugs. В ней уточняется, что приватный список должен использоваться для срочных и реально опасных уязвимостей, а большинство проблем лучше обсуждать публично — там больше проверяющих и выше шанс получить нормальное исправление.

Для AI-assisted отчётов теперь важны понятные требования: краткий plain text без лишнего оформления, проверенное влияние, воспроизводимость и описание реального риска. Если есть эксплойт, его не предлагают публиковать открыто, но можно сообщить, что он существует, и передать детали мейнтейнеру по запросу.

Что это говорит об open source

Эта история хорошо показывает новый тип нагрузки на open source-проекты. Раньше узким местом был поиск ошибок. Теперь всё чаще узким местом становится проверка: что из найденного реально опасно, что уже исправлено, а что просто выглядит страшно в отчёте.

Для Linux это особенно чувствительно. Ядро обслуживает огромную экосистему, и лишний шум в security-каналах — не мелкая неприятность, а реальная потеря времени у людей, которые должны заниматься важными исправлениями.

Финальная мысль здесь довольно земная: если AI нашёл баг, это ещё не готовый вклад в проект. Готовый вклад начинается там, где человек проверил находку, понял её последствия и помог довести дело до исправления.

Итог

Позиция Торвальдса выглядит резкой, но понятной. В безопасности ценится не количество сообщений, а точность: воспроизводимость, влияние, понятный риск и желательно патч. AI может ускорить поиск, но он не должен снимать ответственность с человека, который нажал «отправить». В этой истории особенно важно, что Linux не запрещает такие отчёты, а фактически требует от авторов взрослой работы после находки.

Источник: OpenNET