Linuxカーネルの開発者であるリナス・トーバルズは、低品質のAI生成バグ報告書の大量流入がプライベートなLinuxセキュリティメーリングリストを圧倒し、実際のセキュリティ業務を積極的に妨害していると警告しました。
Linux 7.1の新しいカーネルドキュメンテーションは、AI利用者に対して、そのような発見を公開バグとして扱い、付け焼き刃のレポートではなく、徹底的な分析とパッチを提供するよう明示的に指示しています。
トーバルズが警告していること
Linux 7.1-rc4の発表において、トーバルズは「AI報告書の継続的な氾濫により、セキュリティリストはほぼ完全に管理不可能になった」と述べ、メンテナーは重複レポートの転送や既に修正された問題への返信に時間を費やしていると述べました。
彼は、複数の研究者が同じカーネルコードに対して同じAIツールを実行しており、同じバグが何度も報告され続けることで、トリアージが「無意味な作業」になっていると強調しました。
トーバルズの中核的なメッセージは、AIが発見したバグは「定義上ほぼ秘密ではない」ため、プライベートセキュリティリストで処理することは不適切なワークフローであるということです。これらのレポートを非公開に保つことは、報告者が互いの提出物を見ることを妨げ、重複と無駄な努力をさらに増幅します。
これに対処するため、Linux 7.1カーネルには、真のセキュリティバグとして適切であるものを明確にし、AIツールが関与している場合を含めて責任を持って報告する方法を説明する更新された「セキュリティバグ」ドキュメンテーションが含まれています。
長年のカーネル開発者であるウィリー・タロー著のこのガイダンスは、セキュリティリストに流入する「低品質なAI支援セキュリティレポートの増加」を明示的に扱っています。
文書はプライベートセキュリティリストを「攻撃者が正しく設定された本番システムで所有してはならない機能を与える緊急のバグ」に限定し、それが大規模に容易に悪用可能であることを求めています。
報告者はまず、その問題が実際に信頼境界を越えているかどうかを尋ねるよう指示されています。なぜなら、「脆弱性」として個人的に送信される多くのバグは、実際には公開バグプロセスに属する通常の欠陥だからです。
Linux 7.1に関する新しいドキュメンテーションとコメンタリーは、AI支援レポートの具体的な期待を概説しています。まず、AIまたは大規模スキャンツールで発見されたバグは「公開として扱われるべき」です。同様のツールが複数の人に対して同じ発見をもたらすため、しばしば同じ日に。
つまり、ほとんどのAI検出の問題は、厳密なセキュリティ基準に明確に合致しない限り、プライベートセキュリティエイリアスではなく、公開メーリングリストまたはバグトラッカーに送信されるべきです。
第二に、AI支援による提出物は人間の価値を追加する必要があります。報告者は最新のカーネルでバグを検証し、テストされた再現方法を提供し、推測的な最悪のシナリオではなく具体的な影響に焦点を当て、理想的にはパッチを提案してテストすることが期待されています。
ガイダンスはまた、プレーンテキスト形式で簡潔なレポート(マークダウンやAIスタイルのフォーマットなし)を推奨しています。完全なエクスプロイトまたはプルーフ・オブ・コンセプトコードを公開に投稿することに対して警告し、代わりに報告者がそのような再現方法の存在を記録し、リクエストに応じてプライベートで共有するよう求めています。
Linuxセキュリティワークフローへの影響
トーバルツの警告は、AIコードスキャンツールの有用性と大規模なオープンソースプロジェクトの運用上の現実との間の増大する緊張を浮き彫りにしています。AIは大規模に実際のバグをサーフェスするのに役立つ可能性がありますが、ノイズ、重複した発見、および低コンテキストレポートも生成し、その負担をメンテナーに軽減するのではなく転換します。
カーネルドキュメンテーションは現在、AIを「素晴らしい、ただし[ツール]が実際に役に立つ場合に限定される、不必要な苦痛と無意味なふりをした仕事を引き起こさない」と明示的に枠付けており、貢献者がAIが生成するものの上に実際の努力を投資するよう促しています。
セキュリティチームと研究者にとって、メッセージはAIは歓迎されていますが責任を持って使用されなければならないということです。AIの出力を完成したバグレポートではなく、出発点として扱い、新しくもなく明らかに悪用可能でもない大量生成された発見でプライベートセキュリティチャネルを詰まらせることを避けてください。
翻訳元: https://gbhackers.com/ai-bug-report-spam-is-disrupting-linux-security-discussions/
