Linus Torvalds anunciou recentemente o lançamento da quarta versão candidata do Linux 7.1 (7.1-rc4) e, ao mesmo tempo, emitiu um raro aviso severo sobre os relatórios de vulnerabilidade gerados por IA que atualmente inundam os canais de segurança, dizendo que esses relatórios estão fazendo com que a equipe de segurança do kernel Linux esteja à beira de "fora de controle".
Torvalds ressalta que as ferramentas de IA em si não são o problema; a chave é se eles realmente ajudam. A situação atual é que um grande número de desenvolvedores usa o mesmo tipo de ferramentas de IA para escanear o código do kernel. Depois de descobrir problemas iguais ou semelhantes, todos eles encaminham os relatórios para a lista de discussão de segurança ou para pessoas que eles acham que podem resolver os problemas de uma forma "driver". Como resultado, vulnerabilidades iguais ou já corrigidas são relatadas repetidamente, o que desperdiça seriamente o tempo e a energia dos mantenedores.
Ele enfatizou que não estava desencorajando os desenvolvedores de usar ferramentas de IA no desenvolvimento do Linux, mas reconheceu o potencial da IA na análise de código. Mas ele deixou claro que se um desenvolvedor descobrir um problema no kernel por meio de uma ferramenta de IA, é provável que alguém já o tenha descoberto e relatado, portanto, simplesmente encaminhar um “relatório de cuspe de máquina” não constitui uma contribuição real.
De acordo com Torvalds, a abordagem verdadeiramente “valiosa” é usar ferramentas de IA para descobrir problemas suspeitos, ler atentamente os documentos relevantes, compreender os detalhes do problema e, em seguida, enviar um plano de reparo completo com patches. Ele afirmou sem rodeios que os mantenedores do kernel não precisam de "contribuidores passageiros" que não entendem e apenas copiam relatórios aleatórios, mas de desenvolvedores que estão realmente dispostos a avançar com correções de forma responsável.
Ao falar sobre o estado atual da lista de discussão de segurança, Torvalds a descreveu como “quase incontrolável”. Ele observou que as ferramentas de IA geram uma “inundação constante” de relatórios, com grandes quantidades de conteúdo duplicado lotando listas seguras. Diferentes pessoas que usam as mesmas ferramentas encontram o mesmo problema, e o mantenedor tem que gastar muito tempo encaminhando o relatório ao mantenedor apropriado ou respondendo repetidamente "Este problema foi corrigido há uma semana/um mês atrás" com um link para a discussão pública.
Além dessas duras críticas, Torvalds também mencionou que, de outras perspectivas, o ritmo geral de desenvolvimento do kernel nesta semana ainda é normal. No que diz respeito à composição do patch do 7.1-rc4, as alterações relacionadas ao driver representam cerca de metade do total, entre as quais as atualizações do driver da GPU são as mais proeminentes; outras mudanças concentram-se principalmente em atualizações relacionadas ao subsistema de rede, kernel principal, sistema de arquivos e diferentes arquiteturas. A tendência geral é semelhante ao ciclo de desenvolvimento normal.
A declaração pública de Torvalds destaca os novos desafios que a atual onda de IA representa para o processo de desenvolvimento de software de código aberto. Por um lado, as ferramentas de IA ajudam a descobrir possíveis falhas com mais rapidez; por outro lado, um grande número de "relatórios automatizados" que carecem de triagem e consciência de responsabilidade estão comprimindo a energia limitada dos mantenedores, transformando o canal de segurança de um "sistema de alerta precoce" em uma "fonte de ruído". Alguns observadores acreditam que mesmo que Torvalds tenha emitido um pedido claro, muitas pessoas ainda irão ignorar este aviso e continuarão a participar nas chamadas contribuições de segurança “copiando e colando relatórios”.
No futuro, a forma como a comunidade do kernel Linux encontrará um equilíbrio entre incentivar o uso de novas ferramentas, melhorar a qualidade do código e evitar que os canais de segurança sejam sobrecarregados por relatórios duplicados e de baixa qualidade se tornará um problema que o ecossistema de código aberto deverá enfrentar diretamente. Atualmente, o que Torvalds mais se preocupa é permitir que os desenvolvedores verdadeiramente responsáveis continuem a avançar no trabalho de reparo de forma eficiente, em vez de serem arrastados para o “inferno clerical” por intermináveis relatórios de IA.