Linus Torvalds anunció recientemente el lanzamiento de la cuarta versión candidata de Linux 7.1 (7.1-rc4), y al mismo tiempo emitió una inusual y severa advertencia sobre los informes de vulnerabilidad generados por IA que actualmente inundan los canales de seguridad, diciendo que estos informes están provocando que el equipo de seguridad del kernel de Linux esté al borde de "fuera de control".
Torvalds señala que las herramientas de IA en sí mismas no son el problema; la clave es si realmente ayudan. La situación actual es que una gran cantidad de desarrolladores utilizan el mismo tipo de herramientas de inteligencia artificial para escanear el código del kernel. Después de descubrir problemas iguales o similares, todos envían los informes a la lista de correo de seguridad o a las personas que creen que pueden solucionar los problemas de forma "controladora". Como resultado, se informan repetidamente las mismas vulnerabilidades o las ya solucionadas, lo que desperdicia gravemente el tiempo y la energía de los encargados del mantenimiento.
Hizo hincapié en que no estaba disuadiendo a los desarrolladores de utilizar herramientas de inteligencia artificial en el desarrollo de Linux, sino que reconoció el potencial de la inteligencia artificial en el análisis de código. Pero dejó en claro que si un desarrollador descubre un problema en el kernel a través de una herramienta de inteligencia artificial, es probable que alguien más ya lo haya descubierto y lo haya informado, por lo que simplemente enviar un "informe de máquina" no constituye una contribución real.
Según Torvalds, el enfoque verdaderamente "valioso" es utilizar herramientas de inteligencia artificial para descubrir problemas sospechosos, leer atentamente los documentos relevantes, comprender los entresijos del problema y luego presentar un plan de reparación completo con parches. Declaró sin rodeos que los mantenedores del kernel no necesitan "colaboradores pasajeros" que carecen de comprensión y sólo copian informes aleatorios, sino desarrolladores que estén realmente dispuestos a impulsar las correcciones de manera responsable.
Al hablar del estado actual de la lista de correo de seguridad, Torvalds la describió como "casi inmanejable". Señaló que las herramientas de inteligencia artificial generan una "inundación constante" de informes, con grandes cantidades de contenido duplicado que abarrotan las listas seguras. Diferentes personas que utilizan las mismas herramientas encuentran el mismo problema, y el mantenedor tiene que dedicar mucho tiempo a reenviar el informe al mantenedor correspondiente o responder repetidamente "Este problema se solucionó hace una semana/hace un mes" con un enlace a la discusión pública.
Además de estas duras críticas, Torvalds también mencionó que desde otras perspectivas, el ritmo general de desarrollo del kernel esta semana sigue siendo normal. En lo que respecta a la composición de parches de 7.1-rc4, los cambios relacionados con los controladores representan aproximadamente la mitad del total, entre los cuales las actualizaciones de controladores de GPU son las más destacadas; Otros cambios se centran principalmente en actualizaciones relacionadas con el subsistema de red, el núcleo central, el sistema de archivos y diferentes arquitecturas. La tendencia general es similar al ciclo de desarrollo habitual.
La declaración pública de Torvalds destaca los nuevos desafíos que la actual ola de IA plantea al proceso de desarrollo de software de código abierto. Por un lado, las herramientas de inteligencia artificial ayudan a descubrir fallas potenciales más rápidamente; por otro lado, una gran cantidad de "informes automatizados" que carecen de control y conciencia de responsabilidad están exprimiendo la energía limitada de los mantenedores, convirtiendo el canal de seguridad de un "sistema de alerta temprana" en una "fuente de ruido". Algunos observadores creen que incluso si Torvalds hubiera hecho una petición clara, mucha gente ignoraría esta advertencia y seguiría participando en las llamadas contribuciones de seguridad "copiando y pegando informes".
En el futuro, cómo la comunidad del kernel de Linux encontrará un equilibrio entre fomentar el uso de nuevas herramientas, mejorar la calidad del código y evitar que los canales de seguridad se vean abrumados por informes duplicados y de baja calidad se convertirá en un problema que el ecosistema de código abierto deberá afrontar de lleno. En la actualidad, lo que más le importa a Torvalds es permitir que los desarrolladores verdaderamente responsables continúen avanzando en el trabajo de reparación de manera eficiente, en lugar de ser arrastrados al "infierno administrativo" por interminables informes de IA.