Проблема надлишку звітів про вразливості
Лінус Торвальдс, засновник операційної системи Linux, висловив серйозне занепокоєння щодо значного зростання кількості звітів про помилки безпеки, спричиненого штучним інтелектом (ШІ). За його словами, “безперервний потік ШІ-звітів фактично зробив список безпеки майже повністю некерованим”. Це призводить до “величезної кількості дублювання”, оскільки різні дослідники, використовуючи одні й ті самі інструменти на базі ШІ, виявляють ті самі проблеми. Торвальдс наголосив, що якщо вразливість знайдено за допомогою інструментів ШІ, існує висока ймовірність, що хтось інший уже натрапив на неї аналогічним чином. Він назвав такі дублікати “абсолютно марною роботою” і додав, що “баги, виявлені ШІ, за визначенням не є секретними”. Розгляд таких звітів у приватному списку є марною тратою часу, яка лише посилює дублювання, оскільки автори звітів часто не бачать роботи одне одного.
Вплив на процес обробки вразливостей
Традиційно, обробка вразливостей та помилок у Linux-екосистемі централізована навколо команди безпеки ядра та відповідного списку розсилки ([email protected]). Потік повідомлень завжди був високим, але масове надходження звітів, згенерованих ШІ, створює значні вузькі місця на етапі тріажу. Мейнтейнерам доводиться витрачати час на визначення, чи є звіт реальною вразливістю, дублікатом, чи просто шумом, перш ніж розпочати процес виправлення або присвоєння ідентифікатора CVE.
Рекомендації щодо використання ШІ-інструментів
“ШІ-інструменти чудові, але тільки якщо вони справді допомагають, а не створюють непотрібний біль і безглузду «роботу для вигляду»”, — зазначив Торвальдс. Він закликав до продуктивного використання цих інструментів, яке покращує загальний процес розробки та безпеки. Засновнику Linux варто відзначити, що проблема дублювання звітів не є новою для ядра Linux. Навіть до широкого впровадження ШІ, автоматизовані системи фазингу, такі як syzbot, генерували велику кількість схожих або повторюваних баг-репортів. Однак, ШІ-інструменти значно збільшили кількість “людських” звітів, які часто не надають нової технічної інформації на додачу до вже виявлених автоматичними системами. Торвальдс підсумував, що для реального внесення цінності у процес, необхідно не просто повідомляти про виявлені ШІ проблеми, а й пропонувати конкретні рішення. “Якщо ви справді хочете додати цінність, прочитайте документацію, створіть патч і додайте реальну цінність поверх того, що зробив ШІ”, — порадив він. Це відповідає історичній позиції Лінуса Торвальдса, який завжди виступав за практичний внесок у розвиток ядра. Він надає перевагу не просто повідомленням про проблеми, а робочим патчам або, принаймні, чітко відтворюваним сценаріям з детальними технічними описами. Це частина його загальної філософії управління проєктом Linux, спрямованої на мінімізацію “шуму” в комунікаціях та максимальне прискорення інтеграції виправлень у кодову базу.
Вердикт ІТ-Блогу: Розробникам та дослідникам безпеки, що використовують ШІ для пошуку вразливостей у Linux, варто переглянути свої процеси звітування, щоб уникнути дублювання та надавати більш цінну інформацію.
Подробиці можна знайти на сайті: itc.ua