Линус Торвальдс раскритиковал поток ИИ-отчетов об ошибках в ядре Linux
Линус Торвальдс в еженедельном сообщении к выпуску Linux 7.1-rc4 назвал закрытый список рассылки по безопасности «неуправляемым» из-за наплыва дублирующих отчетов от исследователей. Проблема вызвана тем, что авторы используют одинаковые нейросети для сканирования кода, отправляя идентичные находки в приватный канал, где никто не видит чужие заявки. В результате сопровождающие ядра тратят время на сортировку избыточных данных и перенаправление исследователей к уже готовым исправлениям.
В ответ на это команда формализовала правила обработки таких сообщений. Согласно обновленной документации, уязвимости, найденные автоматизированными инструментами, приравниваются к публичным. Их необходимо отправлять напрямую разработчикам в текстовом виде и с рабочим примером воспроизведения ошибки. Торвальдс призвал исследователей не ограничиваться отправкой сырых логов нейросетей, а самостоятельно разбираться в проблеме и присылать готовые патчи.
Ранее в кодовой базе Linux также закрепили общую политику работы с кодом от нейросетей. Инструментам генерации запрещено использовать юридический тег Signed-off-by — вместо него вводится маркер Assisted-by. При этом вся ответственность за качество и потенциальные ошибки сгенерированного кода полностью остается на человеке, который его отправил.
