Лінус Торвальдс попереджає, що звіти про помилки штучного інтелекту завдають величезної шкоди безпеці Linux
Творець Linux Лінус Торвальдс каже, що створені штучним інтелектом звіти про помилки роблять список розсилки безпеки некерованим через масове дублювання та надмірність.
Засновник і головний архітектор Linux Лінус Торвальдс висловив серйозне занепокоєння щодо зростаючого потоку звітів про помилки, створених ШІ, які заповнюють список розсилки безпеки ядра Linux. У своєму останньому стані адреси ядра Торвальдс висловив розчарування тим, що він описує як дедалі неприйнятнішу ситуацію, коли кількість автоматизованих повідомлень безпеки фактично робить критично важливий канал зв’язку практично неможливим для ефективного керування.
Згідно зі звітами The Register, Торвальдс заявив, що «триваючий потік звітів штучного інтелекту в основному зробив список безпеки майже повністю некерованим, із величезним дублюванням через те, що різні люди знаходять ті самі речі за допомогою тих самих інструментів». Ця відверта оцінка підкреслює зростаючу проблему в спільноті розробників Linux, оскільки інструменти штучного інтелекту для виявлення вразливостей поширюються в галузі. Величезний обсяг надлишкових повідомлень загрожує поховати законні проблеми безпеки під горами повторюваних знахідок.
Розчарування творця Linux виникає через фундаментальну проблему в епоху автоматизованого сканування безпеки: кілька незалежних команд, які використовують подібні або ідентичні інструменти безпеки ШІ, часто виявляють ті самі вразливості одночасно. Замість того, щоб оптимізувати процес виявлення вразливостей, це поширення інструментів сканування на основі штучного інтелекту створило вузьке місце, яке вимагає термінової уваги з боку супроводжуючих Linux і ширшої спільноти безпеки з відкритим кодом.
Хоча Торвальдс визнав, що деякі відкриття за допомогою штучного інтелекту виявилися справді цінними, як-от експлойт "Copy Fail", який було виявлено за допомогою інструментів штучного інтелекту та вплинуло майже на кожен дистрибутив Linux, він підкреслив, що переважна більшість поданих документів є зайвими висновками. Уразливість Copy Fail представляла значну проблему безпеки, яка продемонструвала законну цінність, яку може надати виявлення вразливості штучного інтелекту за належного керування та видалення дублікатів.
Щоб чітко підкреслити свою позицію, Торвальдс прямо сказав спільноті розробників: «Документація може бути дещо менш прямою, ніж я. Тож, щоб було справді ясно: якщо ви знайшли помилку за допомогою інструментів штучного інтелекту, швидше за все, її також знайшов хтось інший». Це пряме попередження підкреслює критичну потребу в кращій координації та механізмах фільтрації, перш ніж звіти про безпеку потраплять до офіційного списку розсилки.
Поширення автоматизованих систем звітування про помилки відображає ширші тенденції в розробці програмного забезпечення, де організації все частіше розгортають моделі машинного навчання для виявлення потенційних вразливостей і дефектів коду. Компанії по всій галузі, від охоронних фірм до хмарних провайдерів, інвестували значні кошти в інструменти статичного аналізу на основі штучного інтелекту, здатні сканувати кодові бази в масштабі та автоматично позначати потенційні проблеми для перевірки персоналом.
Однак ситуація з безпекою ядра Linux ілюструє ненавмисний наслідок цього технологічного прогресу: коли багато організацій розгортають однакові або подібні інструменти штучного інтелекту проти великої, високопрофільної цілі, як-от ядро Linux, математична ймовірність виявлення ідентичних уразливостей наближається до визначеності. Це створює проблему координації, яку поточний процес безпеки Linux, керований волонтерами, ніколи не розраховував на вирішення в такому масштабі.
Завдання, з якими стикається команда безпеки ядра Linux, виходить за межі простого роздратування дублікатами. Кожен звіт, незалежно від його надлишковості, потребує перевірки та сортування людиною, щоб визначити, чи є він справжньою проблемою чи хибним позитивним результатом інструменту сканування AI. Цей трудомісткий процес відволікає обмежені волонтерські ресурси від вирішення нових проблем безпеки на керування адміністративними витратами, спричиненими потоком автоматизованих звітів.
Коментарі Торвальдса свідчать про те, що спільноті Linux необхідно розробити нові процеси та механізми фільтрації, спеціально розроблені для обробки великих обсягів повідомлень, створених ШІ. Потенційні рішення можуть включати створення систем дедуплікації перед надсиланням, вимогу до операторів інструментів штучного інтелекту перевіряти наявні відомості, перш ніж надсилати нові звіти, або впровадження автоматизованих систем фільтрації, які можуть ідентифікувати та консолідувати надлишкові висновки, перш ніж вони потраплять до рецензентів.
Ситуація також викликає ширші питання щодо практики відповідального розкриття інформації в епоху широкого впровадження ШІ. Організації, які розгортають інструменти сканування безпеки, мають етичне зобов’язання враховувати вплив своїх автоматизованих повідомлень на подальшу обробку даних і впроваджувати відповідальні протоколи розкриття інформації, які мінімізують надмірність і накладні витрати для спільнот супроводжувачів. Ця відповідальність стає дедалі важливішою, оскільки інструменти штучного інтелекту стають дедалі ефективнішими та ширше застосовуються в індустрії програмного забезпечення.
Крім безпосередніх викликів управління, попередження Торвальдса відображає глибше занепокоєння щодо майбутнього керування безпекою з відкритим кодом, оскільки інструменти ШІ стають все більш поширеними. Ядро Linux являє собою одну з найважливіших частин програмної інфраструктури в сучасній обчислювальній техніці, що лежить в основі всього, від пристроїв Android до хмарних серверів і вбудованих систем. Для підтримки цілісності глобальної обчислювальної інфраструктури важливо забезпечити функціональність і ефективність процесу безпеки.
Галузові спостерігачі відзначають, що пряма оцінка Торвальдса може спровокувати важливі розмови про встановлення загальногалузевих стандартів відповідального розкриття вразливостей за допомогою ШІ. Оскільки все більше організацій запроваджують автоматизовані інструменти безпеки, впровадження найкращих практик щодо протоколів дедуплікації, координації та подання може запобігти утворенню подібних вузьких місць в інших гучних проектах з відкритим кодом або екосистемах комерційного програмного забезпечення.
Розчарування засновника Linux також підкреслює асиметрію, притаманну сучасній практиці безпеки: у той час як інструменти для виявлення вразливостей стали демократизованими та все більш доступними через штучний інтелект, фактична робота з керування розкриттям інформації про безпеку та координацією виправлень залишається зосередженою на відносно невеликій групі волонтерів, які супроводжують. Ця невідповідність між легкістю пошуку проблем і складністю керування рішеннями є серйозною структурною проблемою для управління програмним забезпеченням з відкритим кодом.
У перспективі спільноті Linux та іншим проектам з відкритим кодом, які постраждали, потрібно буде вивчити практичні рішення, які дозволять їм отримати вигоду від виявлення вразливостей за допомогою штучного інтелекту, одночасно запобігаючи організаційній дисфункції, яку створює надмірне дублювання. Це може включати розробку стандартизованих протоколів подання, впровадження машинозчитуваних баз даних уразливостей, які можна запитувати перед надсиланням, або встановлення спеціальних систем сортування, спеціально розроблених для обробки великих обсягів автоматизованих звітів. Які б рішення не з’являлися, відверта оцінка Торвальдса показує, що статус-кво більше не є стійким.
Джерело: The Verge
