Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Нашли критическую уязвимость в Linux? Почитайте гневное послание Линуса Торвальдса любителям легких отчетов

9393
Linux Торвальдс ИИ ядро уязвимость рассылка патч
Нашли критическую уязвимость в Linux? Почитайте гневное послание Линуса Торвальдса любителям легких отчетов
Linux Торвальдс ИИ ядро уязвимость рассылка патч

Торвальдс признал пользу новых инструментов, но назвал поток повторяющихся сообщений бессмысленной нагрузкой.

image

Линус Торвальдс снова сказал вслух то, что многие разработчики уже чувствовали по почтовым спискам: ИИ научился находить ошибки, но вместе с пользой принес в Linux поток одинаковых и плохо подготовленных сообщений. По словам создателя ядра, список рассылки по безопасности стал «почти полностью неуправляемым», потому что разные исследователи прогоняют похожие инструменты и присылают одни и те же находки.

Торвальдс написал об этом в еженедельном сообщении о состоянии ядра, где также объявил четвертый кандидат на выпуск Linux 7.1 и назвал ход подготовки релиза «довольно обычным». После технической части он отдельно указал разработчикам на документацию проекта и объяснил, почему правила подачи отчетов теперь особенно важны.

Главная претензия Торвальдса не к самим ИИ-инструментам, а к тому, как люди используют найденные ошибки. По его словам, сопровождающие ядра тратят время не на исправления, а на пересылку сообщений нужным разработчикам, ответы в духе «это уже исправили неделю или месяц назад» и ссылки на публичные обсуждения. В результате список безопасности забивается дублирующими отчетами, а полезная работа тонет в шуме.

Торвальдс считает, что найденные ИИ ошибки почти по определению не являются секретом. Если несколько человек используют одни и те же инструменты, одинаковые находки быстро всплывают у разных исследователей. Закрытая рассылка только усугубляет проблему, потому что авторы отчетов не видят сообщения друг друга и продолжают создавать новые дубликаты.

При этом создатель Linux не призвал отказаться от ИИ в поиске уязвимостей. Напротив, Торвальдс признал, что такие инструменты могут приносить пользу, если помогают разработчикам, а не создают «бессмысленную имитацию работы». По его словам, настоящий вклад начинается не с пересылки сырого результата, а с понимания проблемы, чтения документации, подготовки исправления и добавления ценности поверх того, что уже сделал ИИ.

«Если вы нашли ошибку с помощью ИИ-инструментов, велика вероятность, что кто-то уже нашел ее тоже», написал Торвальдс. Он попросил не превращаться в людей, которые «проездом» отправляют случайный отчет без настоящего понимания, а вместо этого оформлять находку так, чтобы сопровождающие ядра могли быстрее проверить и принять исправление.

Позиция Торвальдса звучит жестче недавних оценок другого ключевого сопровождающего ядра, Грега Кроа-Хартмана. Тот ранее говорил The Register, что ИИ становится все более полезным инструментом для сообщества свободного программного обеспечения. Новый спор показывает не столько конфликт вокруг ИИ, сколько старую проблему открытой разработки в новом масштабе: инструмент может найти баг, но ответственность за качество отчета все равно остается на человеке.