Pemelihara kernel Linux tumbang! Setiap hari AI membanjiri 10 laporan kerentanan, sampai-sampai mau menangkap ikan pun susah

Bermain saham cukup lihat laporan riset analis Golden Qilin—otoritatif, profesional, tepat waktu, dan komprehensif—membantu Anda menggali peluang bertema yang berpotensi!

（Sumber: Quantum News）

Pemelihara kernel Linux mengalami crash.

Sekarang, kecepatan AI mencari Bug lebih cepat daripada mereka memperbaiki Bug.

Susah payah lembur untuk menyelesaikan pemindaian ranjau darat, setelah tidur—

Begitu bangun, email lagi-lagi dipenuhi tumpukan laporan kerentanan baru.

Yang paling membuat suasana hati runtuh adalah: laporan yang dihasilkan AI ini, ternyata sebagian besar masih benar—jadi bahkan untuk sekadar “mancing di saat sunyi” pun tidak ada alasan, apalagi pengirimnya masih “pengawas siber” yang tidak perlu tidur.

Tak bisa selesai, pekerjaan dasarnya memang tidak ada habisnya.

Siapa sangka, AI menjadi cambuk siber bagi pengembang Linux.

Tapi mau bagaimana lagi?

Kalau lubang-lubang ini sudah ada di depan mata, bukankah mustahil untuk berpura-pura mati sambil menunggu—agar rumahnya dicuri hacker?

Hanya bisa memaksa diri begadang untuk memperbaiki.

Pada akhirnya, pemelihara ini pun hanya bisa mengangkat tangan tanpa daya: dalam jangka pendek tidak ada jalan, minta rekan-rekan sesama menjaga mental, kita tanggung bersama.

Ini bukan sekadar kesedihan pribadi seorang pemelihara.

“Beberapa bulan lalu, kami menerima beberapa laporan keamanan berkat AI yang kualitasnya rendah,” kenang Greg Kroah-Hartman, pemimpin kernel Linux, “waktu itu kami sama sekali tidak menganggapnya serius.”

Awalnya, orang-orang mengira ini cuma tumpukan sampah lain yang dihasilkan AI.

Siapa sangka, dalam semalam, AI bertransformasi seketika menjadi peretas topi putih kelas atas.

Berbagai laporan AI membombardir email dengan gila-gilaan, dan tingkat ketepatannya sangat tinggi—

Buka satu, eh, ini masuk akal juga.

Lihat yang berikutnya, eh, yang ini juga benar??

Sekejap mata gelap, lalu memulai tambal-menambal tanpa ujung……

Keunikan yang datang terlalu tiba-tiba, bahkan membuat para pakar kernel seperti Greg ikut bingung:

Greg mengatakan, tim keamanan di berbagai proyek open source sering berkomunikasi secara diam-diam; ia menyatakan dengan tegas, “Semua tim keamanan open source saat ini sedang mengalami hal yang sama.”

Sampai sekarang masih belum pulih—alat AI baru mana yang tiba-tiba muncul?

Atau, orang-orang tiba-tiba semuanya terhubung ke alam bawah sadar, lalu serempak bertepuk kepala:

“Hai, menggali celah pakai AI kelihatannya seru, ayo kita coba bareng.”

Apa pun penyebab pastinya, satu fakta yang pasti adalah—

Banjir besar benar-benar datang.

Pengembang Linux tidak tahan!

Di LWN.net, seorang pemelihara kernel Linux dengan nama pengguna wtarreau memamerkan “momen kehancurannya”.

Lonjakan jumlah laporan hanya tampak di permukaan.

Yang benar-benar membuat kulit kepala wtarreau merinding adalah: setiap hari ia bisa melihat “keajaiban” yang belum pernah ia saksikan sebelumnya, berulang-ulang tampil:

Dua orang berbeda mengirimkan laporan kerentanan yang sama

Perlu diketahui, dulu untuk menemukan celah keamanan biasanya membutuhkan ambang teknis yang cukup tinggi; sebuah laporan biasanya dihasilkan melalui analisis mendalam secara manual.

Ini juga berarti, cara berpikir setiap orang berbeda, dan mereka akan bergerak ke arah yang berbeda.

Di basis kode Linux yang sebesar ini, menemukan kembali celah keamanan yang sama secara berulang?

Probabilitasnya bahkan lebih kecil daripada menang lotre.

Satu-satunya penjelasan adalah: sekarang ada banyak sekali orang yang sebelumnya bukan berkutat pada keamanan, mulai menggunakan AI untuk mencari celah.

Dan melakukannya dengan penuh semangat.

Ini membuat beban kerja wtarreau meledak seketika, sampai harus memperluas timnya dan mencari bantuan.

Tapi wtarreau sendiri tidak menyebut adanya keluhan; sebaliknya ia mengatakan ini adalah “kegelisahan yang membahagiakan”.

Namun jika dipikir lagi, mungkin ini juga hal yang baik.

Ini membuat wtarreau teringat pada era keemasan sebelum tahun 2000—masa yang membuat para pemelihara keamanan sangat merindukannya.

Internet belum merata, jadi tidak bisa seperti sekarang: tambal patch online via OTA.

Software harus direkam ke CD atau ditulis ke jutaan disket untuk distribusi; kalau pada salah satu ada celah keamanan yang serius… selesai, semuanya berakhir.

Jadi pada masa itu, software harus tahan melalui beribu uji coba yang ketat.

Kini, industri perangkat lunat mungkin akan dipaksa AI untuk kembali mengadopsi standar quality control yang “menyiksa” seperti itu.

Model “rilis selesai, lalu ditinggal begitu saja” tidak lagi bisa dipakai.

Setiap perangkat lunak sekarang menjadi sasaran tembak langsung.

Mekanisme pemblokiran tidak lagi berfungsi; jika produsen menemukan celah, mereka tidak punya alasan lagi untuk “menyembunyikan dan tidak mengumumkannya”.

Bagaimanapun, meski seseorang memberi tahu produsen lebih dulu, siapa yang bisa menjamin tidak ada orang jahat yang juga menggunakan AI untuk menemukan masalah yang sama, lalu memakainya untuk menyerang pengguna?

Jadi begitu ada bug yang dilaporkan, pemelihara harus langsung memperbaikinya.

Soal ini, wtarreau justru merasa sangat bersemangat.

Walaupun kedengarannya agak menakutkan dan memang cukup melelahkan, kualitas software mungkin akan mengalami peningkatan besar yang belum pernah terjadi sebelumnya.

Namun untuk “kegelisahan yang membahagiakan” seperti ini, ada netizen yang sama sekali tidak bisa ikut merasakan.

Ia terus terang mengatakan para pengembang Linux ini cuma sedang memuaskan diri sendiri; ada beberapa kekurangan yang bahkan tidak diperhatikan siapa pun, dan upgrade buta malah akan membawa bencana kompatibilitas.

Karena itu, ia menyarankan pemelihara agar memusatkan perhatian: tidak perlu mengubah apa pun hanya karena AI mengatakan begitu; yang penting adalah mengunci celah sistemik paling serius.

Menanggapi pandangan itu, netizen lain dengan nada tidak sopan langsung menunjukkan: ini benar-benar omong kosong, sekadar mencari alasan.

Tapi di sini mungkin ada masalah yang lebih realistis lagi—

“Kegelisahan yang membahagiakan” mungkin terlalu indah; siapa yang bisa menjamin ini tidak akan berubah menjadi neraka keamanan yang belum pernah terjadi sebelumnya?

Kecepatan tangan para pemelihara memperbaiki bug, benar-benar bisa mengungguli kecepatan penjahat menggunakan AI untuk menggali celah?

Tapi sebenarnya tidak apa-apa—kalau tidak bisa mengalahkan, maka kita bergabung saja.

Saat ini, AI di pengembangan kernel Linux masih lebih banyak berperan sebagai bantuan, belum resmi menulis kode lengkap.

Namun sekarang, batas itu sedang makin lama makin kabur.

Greg sendiri selaku pakar kernel sudah mulai bereksperimen memakai AI.

Memang, tambalan ini masih perlu dibersihkan sedikit secara manual, dilengkapi keterangan commit yang rapi, lalu diintegrasikan; tapi pastinya tidak boleh disebut “sampah AI”.

“Alat-alat ini memang berguna,” aku Greg, “kita tidak bisa pura-pura tidak melihat. Mereka benar-benar datang, dan terus makin kuat.”

Tubuh para pengembang juga sangat jujur. “Kami sudah melihat beberapa tambalan memang dihasilkan oleh AI,” tambah Greg.

Dan manfaat terbesar dari melakukan ini adalah kecepatan respons.

Greg menyebut, sekarang kita punya banyak robot yang terus memantau tambalan untuk dicek.

Kalau pengecekan tidak lolos, pengembang bisa menerima jawaban dengan cepat, lalu memberikan umpan balik: “Oke, maka besok aku kirim versi lain.”

Dengan begitu, kecepatan membikin patch akan disamakan dengan kecepatan AI saat menggali lubang.

Bagi Linux, hubungan dengan AI sudah menjadi masalah yang mau tidak mau harus mereka pikirkan.

Ini sekaligus peluang dan tantangan.

Di satu sisi, AI menghadirkan sumber celah keamanan baru, sehingga menambah beban peninjauan manual.

Tapi di sisi lain, AI juga membantu meredakan tekanan semacam ini.

Mungkin, yang dihadapi pemelihara kernel Linux saat ini justru merupakan miniatur dari gambaran besar revolusi AI ini.

AI berkembang dengan cepat, dan perkembangan ini memaksa kita untuk menerimanya.

Kencangkan sabuk pengaman.

Tautan referensi:

[1]

[2]

[3]

Berlimpah informasi dan interpretasi yang akurat, semuanya ada di aplikasi Sina Finance