Линус Торвальдс в анонсе очередного предварительного выпуска ядра Linux 7.1-rc4 призвал исследователей безопасности, которые используют для генерации отчётов об уязвимостях искусственный интеллект, призвал не отправлять их в приватный список рассылки «security@kernel.org». Также он попросил следовать принятым ранее правилам и модели угроз при отправке такой информации.
Когда исследователи применяют типовые ИИ-инструменты для выявления угроз, это приводит к отправке большого числа дублирующихся отчётов, что создаёт огромную дополнительную нагрузку на сопровождающих и делает процесс работы через список рассылки почти полностью неуправляемым.
Список рассылки «security@kernel.org» является закрытым. Сторонние исследователи имеют возможность только отправить отчёт, но не могут просматривать информацию, отправленную другими участниками, как и обсуждение багов со стороны разработчиков ядра. В итоге сопровождающие тратят ресурсы на отсеивание дубликатов, а разработчики впустую анализируют проблемы, о которых уже сообщил кто-то другой.
Таким образом, сообщать об уязвимостях, выявленных при помощи ИИ, теперь стоит только через публичные списки рассылки, за исключением критических проблем. Исследователям рекомендуется не заниматься бездумной отправкой того, что сгенерировал ИИ, а проанализировать проблему, убедиться в её существовании, изучить документацию по отправке отчётов об ошибках, подготовить патч и тщательно проверить, не исправлен ли баг в актуальной кодовой базе ядра.
Как подчеркнул Торвальдс, ИИ-инструменты полезны, когда они реально помогают, а не создают лишней нагрузки, их использование при разработке ядра допустимо, но при наличии реального результата и для упрощения работы. По его словам, искусственный интеллект способен генерировать «блестящие отчёты», отмечать «глубокие и тонкие вещи» и бывает «на 100% прав».
При этом разработчик Дэйв Эйрли, который является мейнтейнером стека графических драйверов в ядре Linux, в феврале представил эксперимент по внедрению вспомогательной автоматизированной системы для рецензирования патчей и проверки изменений с участием Сlaude Opus 4.6. Система работает в тестовом режиме для оценки возможности применения ИИ для оптимизации рабочих процессов сотрудников компании Red Hat.
ссылка на оригинал статьи https://habr.com/ru/articles/1036306/