Linus Torvalds heeft een ernstig probleem aangekaart bij zijn aankondiging van een nieuwe Linux release candidate. AI-bugrapporten overspoelen de beveiligingsmailinglijst van het kernelteam. De situatie raakt bijna onbeheersbaar. Verschillende onderzoekers gebruiken dezelfde AI-tools en vinden dezelfde bugs. Dit gebeurt bovendien vaak op precies dezelfde dag. Het gevolg is een enorme hoeveelheid dubbele meldingen op de lijst.
Het beveiligingsteam spendeert daardoor enorm veel tijd aan het beheren van deze meldingenstroom. Ze sturen rapporten door naar de juiste personen. Ook moeten ze steeds opnieuw uitleggen dat een bug al weken geleden een oplossing kreeg. Torvalds noemt dit “nutteloze rompslomp”. AI-gevonden bugs zijn per definitie niet geheim, want meerdere onderzoekers vinden ze gelijktijdig. Ze horen dus niet thuis op een privébeveiligingslijst. Door ze toch privé te behandelen, groeit de duplicatie alleen maar erger. Bovendien kunnen melders elkaars rapporten niet zien, wat het probleem verder verergert.
Torvalds heeft nieuwe documentatie uitgebracht om dit probleem aan te pakken. Hieruit blijkt dat de meeste via het beveiligingsteam gemelde bugs helemaal geen echte beveiligingsbugs zijn. Onderzoekers kennen het dreigingsmodel van de Linux-kernel onvoldoende. Hierdoor bestempelen ze gewone bugs onterecht als beveiligingsproblemen. De documentatie maakt duidelijk dat AI-tools dezelfde kwetsbaarheden tegelijk bij meerdere onderzoekers naar boven brengen.
Torvalds roept iedereen die AI-tools gebruikt op om meer waarde toe te voegen. Stuur niet zomaar een rapport zonder echte kennis van zaken. Lees de documentatie grondig, schrijf zelf een patch en draag bij aan een echte oplossing. AI-tools zijn waardevol, maar alleen als ze daadwerkelijk helpen en niet voor onnodige werkdruk zorgen. Wees geen “drive-by melder” die een rapport stuurt zonder het probleem te begrijpen.
