Линус Торвальдс недавно объявил о выпуске четвертой версии-кандидата Linux 7.1 (7.1-rc4) и в то же время сделал редкое строгое предупреждение о сообщениях об уязвимостях, генерируемых ИИ, которые в настоящее время переполняют каналы безопасности, заявив, что эти отчеты приводят к тому, что команда безопасности ядра Linux находится на грани «выхода из-под контроля».
Торвальдс отмечает, что сами инструменты ИИ не являются проблемой; ключ в том, помогают ли они на самом деле. Текущая ситуация такова, что большое количество разработчиков используют однотипные инструменты искусственного интеллекта для сканирования кода ядра. Обнаружив одинаковые или похожие проблемы, все они отправляют отчеты в список рассылки по безопасности или людям, которые, по их мнению, могут решить проблемы «драйверным способом». В результате об одних и тех же или уже исправленных уязвимостях сообщается неоднократно, что приводит к серьезной трате времени и энергии разработчиков.
Он подчеркнул, что не отговаривает разработчиков от использования инструментов ИИ при разработке Linux, а вместо этого признает потенциал ИИ в анализе кода. Но он ясно дал понять, что если разработчик обнаружит проблему в ядре с помощью инструмента искусственного интеллекта, вполне вероятно, что кто-то другой уже обнаружил ее и сообщил об этом, поэтому простая отправка «отчета от машины» не представляет собой реального вклада.
По словам Торвальдса, по-настоящему «ценный» подход заключается в использовании инструментов ИИ для обнаружения предполагаемых проблем, внимательного прочтения соответствующих документов, понимания всех тонкостей проблемы, а затем представления полного плана ремонта с исправлениями. Он прямо заявил, что специалистам по сопровождению ядра не нужны «попутные участники», которым не хватает понимания и только копируют случайные отчеты, а разработчикам, которые действительно готовы продвигать исправления ответственно.
Говоря о текущем состоянии списка рассылки по безопасности, Торвальдс назвал его «почти неуправляемым». Он отметил, что инструменты искусственного интеллекта генерируют «постоянный поток» отчетов, при этом большое количество дублированного контента заполняет безопасные списки. Разные люди, использующие одни и те же инструменты, обнаруживают одну и ту же проблему, и сопровождающему приходится тратить много времени на пересылку отчета соответствующему сопровождающему или неоднократно отвечать «Эта проблема была исправлена неделю назад/месяц назад» со ссылкой на публичное обсуждение.
В дополнение к этой резкой критике Торвальдс также упомянул, что с другой точки зрения общий темп разработки ядра на этой неделе все еще нормальный. Что касается состава патчей 7.1-rc4, то изменения, связанные с драйверами, составляют около половины от общего числа, среди которых наиболее заметными являются обновления драйверов графического процессора; другие изменения в основном сосредоточены на обновлениях, связанных с сетевой подсистемой, ядром ядра, файловой системой и различными архитектурами. Общая тенденция аналогична обычному циклу разработки.
Публичное заявление Торвальдса подчеркивает новые проблемы, которые нынешняя волна искусственного интеллекта ставит перед процессом разработки программного обеспечения с открытым исходным кодом. С одной стороны, инструменты ИИ помогают быстрее обнаруживать потенциальные недостатки; с другой стороны, большое количество «автоматических отчетов», лишенных проверки и осознания ответственности, выжимают ограниченную энергию сопровождающих, превращая канал безопасности из «системы раннего оповещения» в «источник шума». Некоторые наблюдатели полагают, что даже если Торвальдс вынес четкий запрос, многие люди все равно проигнорируют это предупреждение и продолжат участвовать в так называемых вкладах в безопасность, «копируя и вставляя отчеты».
В будущем то, как сообщество ядра Linux будет находить баланс между поощрением использования новых инструментов, улучшением качества кода и предотвращением перегрузки каналов безопасности дублирующими и некачественными отчетами, станет проблемой, с которой экосистеме открытого исходного кода придется столкнуться напрямую. В настоящее время Торвальдс больше всего заботится о том, чтобы позволить по-настоящему ответственным разработчикам продолжать эффективно продвигать ремонтные работы, а не втягиваться в «канцелярский ад» бесконечными отчетами ИИ.