Linus Torvalds cảnh báo làn sóng báo cáo lỗi từ AI đang làm quá tải đội bảo mật Linux

Torvalds không phản đối việc dùng AI trong phát triển Linux. Theo ông, các công cụ AI có thể hữu ích cho phân tích mã — nhưng chỉ khi báo cáo được kiểm chứng và có giá trị thực tế. Những báo cáo chỉ đơn giản chuyển tiếp kết quả thô từ AI mà không có kiểm tra thêm sẽ chỉ tạo thêm “nhiễu”.

Vì sao các lỗ hổng do AI phát hiện thường bị báo cáo nhiều lần

Các công cụ phân tích mã hiện đại có thể quét những dự án khổng lồ như Linux kernel trong thời gian ngắn. Nhưng điều này cũng có nghĩa là nhiều người đang chạy cùng kiểu quét trên cùng một mã nguồn.

Kết quả thường xảy ra như sau:

• Nhiều nhà nghiên cứu phát hiện cùng một lỗi tiềm năng.
• Mỗi người gửi báo cáo riêng về lỗ hổng đó.
• Người duy trì kernel phải xem xét từng báo cáo một.

Theo tài liệu của kernel, các lỗi kiểu này thường xuất hiện đồng thời ở nhiều người nghiên cứu, đôi khi ngay trong cùng một ngày, tạo ra khối lượng công việc phân loại (triage) lặp lại cho đội bảo trì.

Đối với mỗi báo cáo, maintainer phải kiểm tra:

• Lỗi đó có thật hay không
• Có phải vấn đề bảo mật thực sự hay chỉ là bug thông thường
• Có ảnh hưởng đến các phiên bản kernel đang được hỗ trợ không
• Lỗi đó đã được sửa trong bản mới hơn hay chưa

Ngay cả khi câu trả lời là “đã được sửa rồi”, vẫn có người phải xác minh và phản hồi.

Tài liệu mới của Linux 7.1 cho báo cáo lỗi có AI hỗ trợ

Để giảm “nhiễu”, dự án kernel đã bổ sung hướng dẫn chi tiết hơn về cách báo cáo lỗi bảo mật và cách sử dụng AI một cách có trách nhiệm trong việc phát hiện lỗ hổng.

Tài liệu mới làm rõ:

• Khi không nên gửi email tới danh sách bảo mật riêng
• Những loại bug không cần xử lý như lỗi bảo mật
• Thông tin tối thiểu cần có trong báo cáo được hỗ trợ bởi AI

Tài liệu cũng định nghĩa rõ hơn thế nào là lỗ hổng bảo mật thực sự — thường là lỗi cho phép kẻ tấn công đạt được quyền hoặc khả năng mà họ không nên có trong một hệ thống sản xuất được cấu hình đúng.

Mục tiêu là tránh để các bug thông thường, vấn đề mang tính lý thuyết hoặc lỗi đã được công khai trước đó làm tắc nghẽn quy trình bảo mật bí mật.

Tiêu chuẩn chất lượng mới cho báo cáo lỗi

Một thay đổi quan trọng là yêu cầu bằng chứng cụ thể và có thể tái tạo.

Theo tài liệu kernel, mọi báo cáo lỗi bảo mật phải bao gồm dải phiên bản kernel bị ảnh hưởng — thông tin này được mô tả là “tuyệt đối cần thiết”. Nếu không có thông tin phiên bản, báo cáo sẽ không được xử lý.

Lý do là rất nhiều báo cáo thực tế đề cập đến những lỗi đã được sửa từ trước. Nếu không có dải phiên bản, maintainer không thể nhanh chóng xác định liệu lỗi còn tồn tại hay không.

Nhìn rộng hơn, báo cáo có AI hỗ trợ vẫn phải đáp ứng các tiêu chuẩn giống mọi báo cáo khác:

• Mô tả rõ ràng vấn đề
• Có bằng chứng hoặc log cho thấy lỗi
• Kiểm tra trên các phiên bản kernel hiện tại
• Cung cấp đủ chi tiết để tái tạo lỗi

Việc chỉ gửi kết quả tự động do AI tạo ra mà không có phân tích thêm gần như chắc chắn sẽ không đạt tiêu chuẩn này.

Điều này nói lên gì về tương lai bảo mật mã nguồn mở

Câu chuyện này phản ánh một sự thay đổi lớn trong an ninh phần mềm.

Trước đây, khó khăn lớn nhất là tìm ra lỗi. Nhưng với AI, việc phát hiện lỗi tiềm năng đang trở nên rẻ và nhanh hơn nhiều. Vấn đề mới nằm ở khâu xác minh, lọc trùng lặp và ưu tiên xử lý.

Trong thực tế, điều này có nghĩa:

• Việc phát hiện bug đang trở nên nhanh và rẻ hơn
• Các phát hiện trùng lặp ngày càng phổ biến
• Năng lực phân loại và xác minh của con người trở thành nút thắt

Phản ứng của cộng đồng Linux không phải là cấm AI. Thay vào đó, họ yêu cầu các phát hiện do AI hỗ trợ phải đạt mức bằng chứng tương đương với tiêu chuẩn của maintainer, trước khi chiếm dụng nguồn lực của nhóm bảo mật.

Nói cách khác: AI có thể giúp tìm lỗi, nhưng trách nhiệm hiểu, xác minh và sửa lỗi vẫn thuộc về con người gửi báo cáo.