Линус Торвальдс предупреждает: AI‑отчёты о багах перегружают команду безопасности Linux

При этом Торвальдс не выступает против использования AI в разработке ядра. Он признаёт, что такие инструменты могут быть полезны для анализа кода — но только если итоговый отчёт действительно помогает понять и исправить проблему. Отправка необработанного вывода модели без проверки лишь увеличивает шум и нагрузку на команду сопровождения.

Почему AI‑найденные уязвимости появляются десятки раз

Современные системы анализа кода с поддержкой AI могут очень быстро просканировать огромные проекты вроде Linux kernel. Но это означает, что многие люди запускают похожие проверки одновременно.

В результате возникает типичная цепочка:

• несколько исследователей находят один и тот же потенциальный баг;
• каждый отправляет собственный отчёт об уязвимости;
• мейнтейнеры вынуждены проверять каждое сообщение отдельно.

Документация ядра отмечает, что подобные находки часто появляются «одновременно у нескольких исследователей, иногда в один и тот же день». Это создаёт повторяющуюся работу по первичной проверке (triage).

Команда безопасности должна определить для каждого отчёта:

• существует ли баг на самом деле;
• является ли он уязвимостью безопасности;
• затрагивает ли поддерживаемые версии ядра;
• исправлен ли он уже в более новой версии.

Даже если ответ — «исправлено раньше», кто‑то всё равно должен это проверить и ответить отправителю.

Что изменилось в документации Linux 7.1

Чтобы уменьшить шум, в проекте ядра обновили руководство по работе с уязвимостями и уточнили правила для AI‑ассистированных сообщений.

Новые рекомендации объясняют:

• когда не нужно копировать приватную рассылку безопасности;
• какие типы багов не требуют приватного раскрытия;
• какие минимальные данные должны присутствовать в AI‑ассистированном отчёте.

Также более чётко определено, что вообще считается уязвимостью безопасности. Обычно это ошибка, которая позволяет злоумышленнику получить возможности, которых у него не должно быть в корректно настроенной рабочей системе.

Цель изменений — не допускать, чтобы обычные баги, теоретические проблемы или уже публично обсуждавшиеся ошибки попадали в конфиденциальный канал безопасности.

Минимальная планка качества для отчётов

Самое важное требование — наличие конкретных и проверяемых данных.

В документации прямо сказано: любой отчёт об уязвимости обязан содержать диапазон затронутых версий ядра. Эта информация названа «абсолютно необходимой», и без неё сообщение просто не будет обработано.

Причина проста: значительная часть отчётов касается багов, которые уже были исправлены ранее. Без указания версии мейнтейнеры не могут быстро понять, актуальна ли проблема.

В целом отчёты, найденные с помощью AI, должны соответствовать тем же стандартам, что и любые другие:

• чёткое описание проблемы;
• доказательства или трассировки ошибки;
• проверка на актуальных версиях ядра;
• достаточно информации для воспроизведения и анализа.

Простая пересылка автоматически сгенерированного текста из инструмента AI этим требованиям обычно не соответствует.

Что это говорит о будущем безопасности open‑source

Ситуация показывает более широкую тенденцию в индустрии: узким местом становится не поиск потенциальных багов, а их проверка и управление.

AI‑инструменты уже способны анализировать огромные кодовые базы и находить возможные уязвимости быстрее, чем люди успевают их проверять. Для больших open‑source проектов это создаёт новый дисбаланс.

На практике это означает:

• находить баги становится проще и дешевле;
• одинаковые находки появляются у разных исследователей одновременно;
• главным ограничением становится человеческая способность к triage.

Ответ сообщества Linux не в запрете AI. Вместо этого разработчики повышают требования к качеству отчётов: если баг найден с помощью AI, отправитель должен сам разобраться в проблеме, подтвердить её и предоставить достаточные доказательства, прежде чем занимать время команды безопасности.

Иными словами, AI может помочь обнаружить проблему — но ответственность за её понимание и исправление по‑прежнему остаётся за людьми.