Линус Торвальдс в воскресенье в своем еженедельном сообщении в Рассылке ядра Linux (LKML) назвал частный список рассылки по безопасности ядра Linux «почти полностью неуправляемым», возложив вину на наплыв дублирующихся сообщений об уязвимостях, генерируемых исследователями, которые запускают одни и те же инструменты ИИ против одного и того же кода. Эта жалоба сопровождалась выпуском Linux 7.1-rc4 и ссылкой на недавно объединенную документацию, которая формализует порядок обработки отчетов об ошибках, созданных с помощью ИИ. По словам Торвальдса, проблема заключается в сочетании объема и избыточности: несколько исследователей независимо обнаруживают идентичные ошибки с помощью автоматизированных инструментов и отправляют их по отдельности в закрытый список рассылки, где никто не видит, что уже было отправлено. В результате модераторы тратят время на сортировку дубликатов и направление авторов к исправлениям, которые были объединены неделями ранее. «Ошибки, обнаруженные ИИ, по определению не являются секретными, и обработка их в каком-то частном списке — пустая трата времени для всех участников», — написал Торвальдс в LKML. Торвальдс направил разработчиков к документации по ошибкам безопасности проекта, в которой указано, что уязвимости, обнаруженные с помощью инструментов ИИ, следует рассматривать как публичное раскрытие информации и отправлять непосредственно соответствующим мейнтейнерам, а не направлять через частный список безопасности. Отчеты должны быть краткими, отформатированными в виде простого текста и содержать проверенный репродуктор. В марте Вилли Тарро, создатель HAProxy и давний мейнтейнер стабильных версий ядра Linux, заявил в комментариях, опубликованных на LWN, что список рассылки по безопасности ядра, который два года назад получал примерно два-три отчета в неделю, теперь получает от пяти до десяти отчетов в день. Большинство из них — обоснованные находки, но дублирование среди исследователей, использующих схожие инструменты, перегрузило существующий процесс сортировки. Торвальдс настоятельно призвал исследователей идти дальше, чем просто отправка необработанных результатов. «Если вы действительно хотите принести пользу, прочитайте документацию, создайте также патч и добавьте реальную ценность поверх того, что сделал ИИ», — написал он. «Не будьте из тех, кто просто «залетает» и отправляет случайный отчет без реального понимания». Этот подход, одобренный Торвальдсом, в точности соответствует тому, что делает его коллега-мейнтейнер Грег Кроа-Хартман со своей системой «Clanker T1000», инструментом для поиска ошибок на базе Framework Desktop: обнаружить проблему, написать исправление, взять на себя ответственность за патч и опубликовать его. Проект ядра Linux формализовал свою более широкую позицию в отношении вкладов, сделанных с помощью ИИ, в прошлом месяце, установив общепроектную политику, которая разрешает код, сгенерированный ИИ, при условии, что разработчики соблюдают строгие правила раскрытия информации. Согласно этой политике, агенты ИИ не могут использовать юридически обязывающую метку «Signed-off-by», а контрибьюторы должны использовать новую метку «Assisted-by» для прозрачности. Каждая строка кода, сгенерированного ИИ, и любые возникающие ошибки остаются юридической ответственностью человека, который его отправляет.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
