> 株式投資は金麒麟のアナリストレポートを見るのが一番、権威的で、専門的で、タイムリーで、網羅的です。潜在的なテーマの投資機会を掘り起こすのに役立ててください! (出典:量子位)Linuxカーネルのメンテナーがクラッシュした。今やAIがBugを見つけるスピードは、彼らがBugを修正するスピードよりも速い。ようやく残業で地雷処理を片づけて、一眠りしたら――メールボックスには、また新しい脆弱性報告の山が詰め込まれて爆発状態。一番メンタルをやられるのは、これらのAIが生成したレポートが、なんと大部分がそれでも正しいこと。手抜きしたくても言い訳ができない。ましてや、その投稿者が、眠らない「サイバース監督」だというのだから。やり切れない、仕事なんて根本的に終わらない。誰が思っただろう――AIがLinux開発者のサイバーモチベータ(むち)になるなんて。でも、どうしようもないよね?脆弱性がここに突きつけられている以上、死んだふりをしてハッカーに家を奪われるのを待つわけにもいかない。仕方なく、根性で夜通し修正するしかない。最後に、このメンテナーも結局、無念のジェスチャーをするしかない。短期では手立てがない、同業者には心理的準備をしておいてくれ、みんなで耐えるしかない――と。これは、ある特定のメンテナーだけの独り悲しみではない。「数か月前、私たちはいくつかのAI生成の低品質なセキュリティレポートを受け取りました」と、Linuxカーネル責任者のGreg Kroah-Hartmanは振り返る。「当時、まったく相手にしませんでした。」最初は、人々はこれをAIが生み出したゴミレポートのまた一つだと思っていた。ところが、ある夜のうちに――AIは身をひるがえし、トップクラスのホワイトハットハッカーになった。各種AIレポートが狂ったようにメールボックスを爆撃し、しかも正確性が非常に高い――1通開いてみると、あれ、この内容かなり筋が通ってる。次の1通を見ると、あれ、これも正しいのか??すると一気に視界が真っ暗になり、終わりのないパッチ修正のループに突入……転機があまりに突然すぎて、Gregのようなカーネルの大物すら当惑している:Gregによれば、大規模なオープンソース各プロジェクトのセキュリティチームは、社内で極めて頻繁に非公式の交流をしており、彼ははっきりと「すべてのオープンソースのセキュリティチームが、現在このことを経験しています」と述べている。いまでもまだ正気に戻れていない――いったい、どんな新しいAIツールが飛び出してきたのだろう?それとも、人々が突然、みんなで潜在意識に接続して、同時に「よし、AIで脆弱性を掘るのって面白そうだな、みんなで試そう」とでも思いついたのか?原因が何であれ、確かな事実が一つある――本当に津波が来た。Linux開発者はもう耐えられない!LWN.netで、ニックネームがwtarreauのLinuxカーネルメンテナーが、自身の「クラッシュした瞬間」を公開した。レポート数の急増はただの見かけにすぎない。本当に頭皮がぞっとするのは、毎日、これまで一度も見たことのない「光景」が見られることだ。何度も繰り返されている:2人の別々の人が、同じ脆弱性レポートを提出した以前は、セキュリティ脆弱性を見つけようとすると通常は技術的ハードルが高く、1つのレポートは多くの場合、人の手による深い分析の上で作られていたことを知っておく必要がある。つまり、各人の考え方も違い、みんな別の方向へ進んでいく。Linuxのこれほど巨大なコードベースの中で、同じ脆弱性を重複して見つける?その確率は、宝くじに当たるより低い。唯一の説明はこうだ。今や、元々セキュリティをやっていなかった大量の人が、AIを使って脆弱性を探し始めている。しかも、楽しくてやめられない。そのせいでwtarreauの作業量は一瞬で爆発し、チームを拡張して助けを呼ぶしかなくなった。ただし、wtarreauは不満を言ったわけではなく、むしろ「幸せな悩み」だと述べている。でも逆に考えると、もしかすると良いことなのかもしれない。wtarreauは、2000年より前のことを思い出した。当時はセキュリティメンテナーにとって、魂が引かれるような黄金時代だった。インターネットはまだ普及しておらず、今みたいにOTAでオンラインにパッチを当てることはできない。ソフトはCDに刻むか、何百万枚ものフロッピーディスクに書いて配布する必要があった。この面に重大なセキュリティ脆弱性があったら……もう終わりだ。だから当時のソフトは、千回の試験に耐える必要があった。いま、ソフトウェア業界はAIに押されて、こうした「異常に厳格な」品質検査基準を再び拾い上げることになるかもしれない。「リリースして放置する」モデルは完全に通用しなくなった。各ソフトは今や生きた的だ。封鎖(ブラックリスト化)メカニズムは機能しない。メーカーが脆弱性を見つけても、「黙って隠しておく」という言い訳がもう使えない。なぜなら、たとえ誰かが事前にメーカーへ通知していたとしても、悪い連中もAIを使って同じ問題を見つけ、ユーザーを攻撃する可能性を誰が保証できる?だから、バグが報告されたら、メンテナーはすぐに修正しなければならない。これについてwtarreauは、かなり興奮している。怖そうに聞こえて、実際かなり大変でも、ソフトの品質は前例のない大きな向上を迎えるかもしれない。ただ、この「幸せな悩み」については、ネットユーザーの中にはまったく共感できないと言う人もいる。彼はこう断言した。これらのLinux開発者はただ自分を盛り上げているだけで、欠陥のいくつかはそもそも誰も気にしていない。盲目的にアップグレードすれば、かえって互換性の災害につながる、と。そのため彼はメンテナーに、AIが何と言おうが何でも変える必要はなく、最も深刻なシステムレベルの脆弱性だけをきちんと塞ぐことに集中すべきだ、と提案した。この見解に対しては、別のネットユーザーが容赦なくこう指摘した。これはまったくのこじつけで、単なる言い訳探しだ、と。ただ、ここにはもう一つ、より現実的な問題があるかもしれない――「幸せな悩み」があまりにも美しすぎるのだ。誰が保証できる? これが前例のないセキュリティ地獄にならないとは。メンテナーがBugを修正する手の速さは、本当に、犯罪者がAIで脆弱性を掘る速度に勝てるのか?でも、実は大丈夫。負けるなら、こちらも加わればいい。現状、AIはLinuxカーネル開発ではまだ主に補助で、完全なコードを書き切るところまでは正式には至っていない。しかし今、この境界線はますます曖昧になってきている。カーネルの大物Greg自身も、すでにAIで実験を始めている。もちろん、これらのパッチは人の手で少し整理したり、見栄えのよいコミット説明を足したりしてから統合する必要はあるが、それでも絶対にそれらを「AIゴミ」などと呼んではいけない。「これらのツールは役に立ちます」とGregは率直に認めた。「見えないふりはできません。実際に来ていますし、しかもどんどん強くなっています。」開発者の身体もまた正直だ。「我々は、確かにいくつかのパッチがAIによって生成されているのを見ています」とGregは補足した。そして、この方法の最大の利点はレスポンス速度だ。Gregは、今われわれのところには多数のロボットがいて、パッチを監視・チェックしていると述べた。もしチェックに通らなければ、開発者はすぐに返答を受け取り、フィードバックを返すことができる。「よし、それなら明日また別のバージョンを提出する。」こうすることで、パッチ当てのスピードは、AIが穴を掘るスピードと同じ水準まで引き揃えられる。Linuxにとって、AIとの関係は、もはや避けて通れない検討課題になっている。それは機会であり、同時に挑戦でもある。一方で、AIは新たな脆弱性の発生源をもたらし、人手による監査の負担を重くする。しかし他方で、AIはこの種のプレッシャーを緩和するのにも役立っている。もしかすると、Linuxカーネルのメンテナーたちがいま直面しているのは、このAI革命の全体像の縮図なのかもしれない。AIは急速に発展しており、この発展は、私たちがそれを受け入れざるを得なくなっていることを意味する。シートベルトを締めよう。参考リンク:[1][2][3] 大量の情報、正確な解釈は、Sina Finance APPの中にあります
Linuxカーネルメンテナが崩壊!AIが毎日10件の脆弱性レポートを大量送信、魚をつつくのも一苦労
(出典:量子位)
Linuxカーネルのメンテナーがクラッシュした。
今やAIがBugを見つけるスピードは、彼らがBugを修正するスピードよりも速い。
ようやく残業で地雷処理を片づけて、一眠りしたら――
メールボックスには、また新しい脆弱性報告の山が詰め込まれて爆発状態。
一番メンタルをやられるのは、これらのAIが生成したレポートが、なんと大部分がそれでも正しいこと。手抜きしたくても言い訳ができない。ましてや、その投稿者が、眠らない「サイバース監督」だというのだから。
やり切れない、仕事なんて根本的に終わらない。
誰が思っただろう――AIがLinux開発者のサイバーモチベータ(むち)になるなんて。
でも、どうしようもないよね?
脆弱性がここに突きつけられている以上、死んだふりをしてハッカーに家を奪われるのを待つわけにもいかない。
仕方なく、根性で夜通し修正するしかない。
最後に、このメンテナーも結局、無念のジェスチャーをするしかない。短期では手立てがない、同業者には心理的準備をしておいてくれ、みんなで耐えるしかない――と。
これは、ある特定のメンテナーだけの独り悲しみではない。
「数か月前、私たちはいくつかのAI生成の低品質なセキュリティレポートを受け取りました」と、Linuxカーネル責任者のGreg Kroah-Hartmanは振り返る。「当時、まったく相手にしませんでした。」
最初は、人々はこれをAIが生み出したゴミレポートのまた一つだと思っていた。
ところが、ある夜のうちに――AIは身をひるがえし、トップクラスのホワイトハットハッカーになった。
各種AIレポートが狂ったようにメールボックスを爆撃し、しかも正確性が非常に高い――
1通開いてみると、あれ、この内容かなり筋が通ってる。
次の1通を見ると、あれ、これも正しいのか??
すると一気に視界が真っ暗になり、終わりのないパッチ修正のループに突入……
転機があまりに突然すぎて、Gregのようなカーネルの大物すら当惑している:
Gregによれば、大規模なオープンソース各プロジェクトのセキュリティチームは、社内で極めて頻繁に非公式の交流をしており、彼ははっきりと「すべてのオープンソースのセキュリティチームが、現在このことを経験しています」と述べている。
いまでもまだ正気に戻れていない――いったい、どんな新しいAIツールが飛び出してきたのだろう?
それとも、人々が突然、みんなで潜在意識に接続して、同時に「よし、AIで脆弱性を掘るのって面白そうだな、みんなで試そう」とでも思いついたのか?
原因が何であれ、確かな事実が一つある――
本当に津波が来た。
Linux開発者はもう耐えられない!
LWN.netで、ニックネームがwtarreauのLinuxカーネルメンテナーが、自身の「クラッシュした瞬間」を公開した。
レポート数の急増はただの見かけにすぎない。
本当に頭皮がぞっとするのは、毎日、これまで一度も見たことのない「光景」が見られることだ。何度も繰り返されている:
2人の別々の人が、同じ脆弱性レポートを提出した
以前は、セキュリティ脆弱性を見つけようとすると通常は技術的ハードルが高く、1つのレポートは多くの場合、人の手による深い分析の上で作られていたことを知っておく必要がある。
つまり、各人の考え方も違い、みんな別の方向へ進んでいく。
Linuxのこれほど巨大なコードベースの中で、同じ脆弱性を重複して見つける?
その確率は、宝くじに当たるより低い。
唯一の説明はこうだ。今や、元々セキュリティをやっていなかった大量の人が、AIを使って脆弱性を探し始めている。
しかも、楽しくてやめられない。
そのせいでwtarreauの作業量は一瞬で爆発し、チームを拡張して助けを呼ぶしかなくなった。
ただし、wtarreauは不満を言ったわけではなく、むしろ「幸せな悩み」だと述べている。
でも逆に考えると、もしかすると良いことなのかもしれない。
wtarreauは、2000年より前のことを思い出した。当時はセキュリティメンテナーにとって、魂が引かれるような黄金時代だった。
インターネットはまだ普及しておらず、今みたいにOTAでオンラインにパッチを当てることはできない。
ソフトはCDに刻むか、何百万枚ものフロッピーディスクに書いて配布する必要があった。この面に重大なセキュリティ脆弱性があったら……もう終わりだ。
だから当時のソフトは、千回の試験に耐える必要があった。
いま、ソフトウェア業界はAIに押されて、こうした「異常に厳格な」品質検査基準を再び拾い上げることになるかもしれない。
「リリースして放置する」モデルは完全に通用しなくなった。
各ソフトは今や生きた的だ。
封鎖(ブラックリスト化)メカニズムは機能しない。メーカーが脆弱性を見つけても、「黙って隠しておく」という言い訳がもう使えない。
なぜなら、たとえ誰かが事前にメーカーへ通知していたとしても、悪い連中もAIを使って同じ問題を見つけ、ユーザーを攻撃する可能性を誰が保証できる?
だから、バグが報告されたら、メンテナーはすぐに修正しなければならない。
これについてwtarreauは、かなり興奮している。
怖そうに聞こえて、実際かなり大変でも、ソフトの品質は前例のない大きな向上を迎えるかもしれない。
ただ、この「幸せな悩み」については、ネットユーザーの中にはまったく共感できないと言う人もいる。
彼はこう断言した。これらのLinux開発者はただ自分を盛り上げているだけで、欠陥のいくつかはそもそも誰も気にしていない。盲目的にアップグレードすれば、かえって互換性の災害につながる、と。
そのため彼はメンテナーに、AIが何と言おうが何でも変える必要はなく、最も深刻なシステムレベルの脆弱性だけをきちんと塞ぐことに集中すべきだ、と提案した。
この見解に対しては、別のネットユーザーが容赦なくこう指摘した。これはまったくのこじつけで、単なる言い訳探しだ、と。
ただ、ここにはもう一つ、より現実的な問題があるかもしれない――
「幸せな悩み」があまりにも美しすぎるのだ。誰が保証できる? これが前例のないセキュリティ地獄にならないとは。
メンテナーがBugを修正する手の速さは、本当に、犯罪者がAIで脆弱性を掘る速度に勝てるのか?
でも、実は大丈夫。負けるなら、こちらも加わればいい。
現状、AIはLinuxカーネル開発ではまだ主に補助で、完全なコードを書き切るところまでは正式には至っていない。
しかし今、この境界線はますます曖昧になってきている。
カーネルの大物Greg自身も、すでにAIで実験を始めている。
もちろん、これらのパッチは人の手で少し整理したり、見栄えのよいコミット説明を足したりしてから統合する必要はあるが、それでも絶対にそれらを「AIゴミ」などと呼んではいけない。
「これらのツールは役に立ちます」とGregは率直に認めた。「見えないふりはできません。実際に来ていますし、しかもどんどん強くなっています。」
開発者の身体もまた正直だ。「我々は、確かにいくつかのパッチがAIによって生成されているのを見ています」とGregは補足した。
そして、この方法の最大の利点はレスポンス速度だ。
Gregは、今われわれのところには多数のロボットがいて、パッチを監視・チェックしていると述べた。
もしチェックに通らなければ、開発者はすぐに返答を受け取り、フィードバックを返すことができる。「よし、それなら明日また別のバージョンを提出する。」
こうすることで、パッチ当てのスピードは、AIが穴を掘るスピードと同じ水準まで引き揃えられる。
Linuxにとって、AIとの関係は、もはや避けて通れない検討課題になっている。
それは機会であり、同時に挑戦でもある。
一方で、AIは新たな脆弱性の発生源をもたらし、人手による監査の負担を重くする。
しかし他方で、AIはこの種のプレッシャーを緩和するのにも役立っている。
もしかすると、Linuxカーネルのメンテナーたちがいま直面しているのは、このAI革命の全体像の縮図なのかもしれない。
AIは急速に発展しており、この発展は、私たちがそれを受け入れざるを得なくなっていることを意味する。
シートベルトを締めよう。
参考リンク:
[1]
[2]
[3]
大量の情報、正確な解釈は、Sina Finance APPの中にあります