AI prijave nisu ubrzale Linux sigurnost, nego otvorile novu cijenu provjere
A Linux maintainer command center overwhelmed by repeated AI-generated security reports, with duplicate warning cards stacking over kernel code.📷 AI-generated image / TECH&SPACE
- ★Torvalds kaže da AI prijave prečesto dupliciraju već poznate nalaze i opterećuju Linux sigurnosnu listu.
- ★Kritika cilja manjak ljudske provjere, reprodukcije i održavateljskog konteksta, ne samo korištenje LLM alata.
- ★Ako se trend nastavi, Linux zajednica mogla bi trebati strože filtre za prijave koje nemaju stvarnu tehničku vrijednost.
Linus Torvalds nije rekao da AI alati nemaju mjesto u razvoju softvera. Njegova meta je preciznija i neugodnija: ljudi koji LLM-om pronađu ili navodno pronađu bug, zatim rezultat samo proslijede Linux timu kao da je to već gotov sigurnosni doprinos. Prema izvještaju PC Gamera, Torvalds je poručio da je stalna poplava AI prijava sigurnosnu listu učinila gotovo potpuno neupravljivom.
Ključna rečenica nije anti-AI poza, nego održavateljski prigovor: ako je bug pronađen AI alatom, velika je šansa da ga je pronašao i netko drugi. U praksi to znači da lista dobiva više istih ili sličnih dojava, a manje provjerenih slučajeva s jasnim tragom reprodukcije, pogođenim verzijama, patch kontekstom i razumijevanjem što se zapravo ruši. Za projekt veličine Linux kernela, to nije mala administrativna smetnja. To je trošak pažnje.
Problem nije u tome što netko koristi LLM za traženje grešaka, nego u tome što na listu šalje duplicirane prijave bez provjere, konteksta i stvarnog održavateljskog rada.
Close-up of a maintainer triage desk separating one verified kernel bug report from many AI-stamped duplicates.📷 AI-generated image / TECH&SPACE
Linux sigurnosni proces već počiva na ljudskoj procjeni. Službene smjernice za prijavu problema u kernelu traže preciznost, relevantne logove, minimalne reprodukcijske korake i rad s održavateljima. LLM može pomoći u trijaži, čitanju stack tracea ili brzom pregledu koda, ali ne može magično zamijeniti odgovornost prijavitelja. Ako korisnik samo zalijepi AI izlaz u listu, održavatelj i dalje mora obaviti prljavi dio posla: provjeriti je li nalaz stvaran, nov, sigurnosno relevantan i vrijedan eskalacije.
Zato je ova epizoda šira od jedne Torvaldsove oštre opaske. Otvoreni softver već godinama ovisi o asimetriji: puno ljudi može otvoriti issue, ali mali broj ljudi mora ga zatvoriti, potvrditi, popraviti ili odbiti. LLM alati tu asimetriju mogu pogoršati jer pojeftinjuju proizvodnju prijava, ali ne pojeftinjuju jednako kvalitetnu provjeru. Rezultat je poznat obrazac iz AI ere: više sadržaja, manje signala.
PC Gamer navodi i da novi driveri čine otprilike polovicu kernel nadogradnje, osobito GPU driveri. To je korisna pozadina jer pokazuje koliko se Linux kernel istodobno širi i brani od buke. Kada se promjene gomilaju u osjetljivim slojevima sustava, sigurnosni kanal mora ostati čist. Ako postane mjesto za automatizirane duplikate, zajednica će morati izgraditi obrambene mehanizme: stroža pravila prijave, automatsko označavanje AI-sličnih nalaza ili filtre koji traže minimalnu razinu tehničke provjere prije nego što poruka dođe do ljudi.
Najvažnija pouka nije da LLM ne smije dirati kernel. Pouka je da AI ne uklanja obavezu uredničkog rada nad vlastitim nalazom. U Linuxu, kao i drugdje, alat koji povećava broj prijava bez povećanja njihove kvalitete nije produktivnost. To je samo nova vrsta reda čekanja.
