Linus Torvalds は、様々なメーリングリストを通じて開発者コミュニティに静かに浸透していた感情に、再び声を与えました。人工知能は確かにソフトウェアの回帰を発見するのに巧みになりましたが、この有用性と同時に、均一で不十分に検証された報告の奔流によって Linux エコシステムを氾濫させています。カーネルの設計者によると、専用のセキュリティメーリングリストは「ほぼ完全に管理不可能な」ものに堕落してしまいました。異なる研究者たちが同一の自動化ツールを実行し、冗長な分析結果を送信しているためです。
Torvalds は週刊のカーネルステータス通信の中でこれらの不満を述べました。その中で彼は同時に Linux 7.1 の 4 番目のリリース候補のデプロイを宣布し、より広い開発サイクルを「かなり日常的」と特徴づけました。技術的な概要に続いて、彼は開発者にプロジェクトのドキュメントに対して明確に指示を出し、脆弱性報告のために確立されたプロトコルがなぜ今や最高の重要性を帯びるようになったのかを強調しました。
Torvalds の主張の中核は、計算知能ツール自体に向けられるのではなく、むしろ人間のオペレーターが発見した異常を無思慮な方法で配布することに向けられています。彼は、カーネル保守者が、エンジニアリングの修正に認知的リソースを費やすのではなく、誤った対応を適切な開発者にルーティングし、「これは 1 週間前または 1 ヶ月前に既に修正されました」と述べる通知を発送し、公開ディスカッションスレッドを参照することに強制されていることを観察しました。その結果、セキュリティパイプラインは重複する報告で詰まり、実質的な仕事はデジタルノイズの下に沈んでしまいました。
Torvalds は、AI が発見した脆弱性は、ほぼ定義上、もはや秘密の聖域ではないと主張しています。複数の独立した行為者が同じ分析フレームワークをデプロイすれば、同じ異常は必然的に異なる研究領域全体に浮かび上がるでしょう。閉じた、制限されたメーリングリストを利用することは、単にこのシステム的な摩擦を悪化させるだけです。貢献者は隣接する提出に気付かず、重複する報告を永続的に生成し続けるからです。
それにもかかわらず、Linux の創作者は、脆弱性発見からの人工知能の絶対的な追放を主張していませんでした。反対に、Torvalds は、そのような道具は「無意味な生産性の模倣」を製造するのではなく、開発者を支援している限り、本当の有用性をもたらすと認めました。彼の見積もりでは、本物の貢献は、生のアルゴリズムの出力を無批判に転送することから始まるのではなく、基本的な欠陥の本質的な理解、ドキュメントの綿密な読書、実行可能なパッチの定式化、および AI によって合成されたベースラインの上に人的価値を注入することから始まります。
「AI ユーティリティを利用してバグを発見した場合、他の誰かが既にそれを明らかにしている可能性が高いです」と Torvalds は書きました。彼は貢献者に、基本的な理解を欠いて無作為に診断レポートを無頓着に発送する一時的な運送業者として行動することを控えるよう懇願し、代わりに彼らの発見を文脈化するよう促しました。これにより、カーネル保守者は迅速に確認し、決定的な修復をマージできます。
Torvalds の現代的な姿勢は、別の基礎的なカーネル保守者である Greg Kroah-Hartman によって述べられた最近の評価よりも、より厳格なトーンで共鳴しています。後者は以前 The Register に、人工知能は自由およびオープンソースソフトウェアのコミュニティにとってますます有利なツールとして現れていることを述べました。このまとまった言論は、AI 採択をめぐる二項的な哲学的紛争ではなく、むしろ、オープンソース開発の古典的な摩擦が拡大規模で増幅されたことを明らかにしています。ツールはソフトウェアの欠陥をシームレスに分離できますが、レポートの忠実性に対する最終的な責任は、排他的に人的義務のままです。
翻訳元: https://meterpreter.org/linus-torvalds-slams-ai-bug-hunters-for-clogging-linux-security-pipelines/
