O mantenedor do kernel Linux entrou em colapso! A IA, todos os dias, faz passar 10 relatórios de vulnerabilidades em bruto — até tentar “tocar num peixe” parece difícil.

Para negociar acções, é só ver os relatórios de análise dos analistas do Jinqilin; são autoritários, profissionais, atempados e abrangentes — ajude-o a descobrir oportunidades de temas com potencial!

（Fonte: Qubit Quantum）

O mantenedor do kernel Linux teve um colapso.

Agora, a velocidade com que a IA encontra bugs é maior do que a daqueles que os conseguem corrigir.

Mal se conseguiu fazer horas extra e varrer as minas,

acorda de uma sesta —

a caixa de correio voltou a ficar completamente entupida com novos relatórios de vulnerabilidades.

O mais perturbador do ponto de vista psicológico é que, afinal, a maioria desses relatórios gerados por IA ainda está correcta; não há nem sequer desculpa para “desenrascar ao mínimo”, quanto mais, ainda por cima, o remetente é um “supervisor cibernético” que nem sequer dorme.

Não dá conta. O trabalho simplesmente não acaba.

Quem diria?

A IA acabou por se tornar o chicote cibernético para programadores Linux.

Mas e agora, o que é que se há de fazer?

Já que as vulnerabilidades estão ali à vista, não dá para fingir que não se vê e esperar que um hacker entre pela porta da frente.

Só resta aguentar a cara e reparar de noite adentro.

Por fim, este mantenedor também só consegue levantar as mãos, sem alternativa: a curto prazo não há solução; aconselha os colegas a prepararem-se psicologicamente, para suportarem isto juntos.

Isto não é uma tristeza individual de um certo mantenedor.

“Há alguns meses, recebemos alguns relatórios de segurança de baixa qualidade gerados por IA”, recordou Greg Kroah-Hartman, responsável pelo kernel Linux, “e na altura nem sequer levámos a sério.”

No início, as pessoas achavam que era apenas mais um monte de lixo gerado por IA.

Quem diria que, de repente, durante uma noite, a IA se transforma e passa a ser uma espécie de hacker de chapéu branco de topo.

Todo o tipo de relatórios de IA bombardearam a caixa de correio, com uma taxa de correcção extremamente alta —

abre um, e afinal… o que diz faz bastante sentido.

olha para o seguinte, e afinal… como é que também isto está certo? ?

De repente, escureceu à vista e lá vai, sem fim, a abrir patches…

O “ponto de singularidade” chegou depressa demais, a ponto de até um grande nome como Greg ficar sem entender nada:

Greg afirmou que as equipas de segurança dos vários projectos open source conversam com muita frequência em privado; e disse com toda a clareza: “Neste momento, todas as equipas de segurança open source estão a passar por isto.”

Até hoje ainda não recuperou do choque — afinal, que ferramenta nova de IA é que surgiu de repente?

Ou será que as pessoas, de repente, se ligaram em conjunto ao inconsciente e, sem combinação, bateram na testa:

“Ei, parece que cavar vulnerabilidades com IA é interessante; vamos experimentar todos juntos.”

Independentemente do motivo exacto, há um facto que é certo —

O tsunami está mesmo a chegar.

Os programadores Linux já não aguentam!

No LWN.net, um mantenedor do kernel Linux com o pseudónimo wtarreau publicou o seu “momento de colapso”.

O aumento no número de relatórios é apenas uma aparência.

O que realmente o fez arrepiar o couro cabeludo é que, todos os dias, consegue ver “espectáculos” nunca antes vistos, repetindo-se à mesma cadência:

Duas pessoas diferentes enviaram o mesmo relatório de vulnerabilidade

Sabe-se que, antes, para encontrar vulnerabilidades de segurança, era geralmente necessário um nível técnico elevado; um relatório era muitas vezes resultado de uma análise aprofundada feita manualmente.

Isto também significa que cada pessoa tem uma linha de pensamento diferente e acabará por seguir rumos diferentes.

Numa base de código tão enorme como a do Linux, descobrir repetidamente a mesma vulnerabilidade?

A probabilidade é quase tão baixa como ganhar na lotaria.

A única explicação é que agora há um enorme grupo de pessoas que não têm nada a ver com segurança a começar a usar IA para encontrar vulnerabilidades.

E com entusiasmo.

Isto fez com que a carga de trabalho de wtarreau explodisse instantaneamente, a ponto de ter de expandir a equipa e chamar gente para ajudar.

Mas wtarreau não disse queixume; pelo contrário, afirmou que é uma “preocupação feliz”.

Mas pensando bem, talvez também seja uma boa coisa.

Isto fez wtarreau recordar a “idade de ouro” antes de 2000, um período ao qual os responsáveis pela manutenção de segurança viviam com o coração nas mãos.

Nessa altura, a Internet ainda não estava generalizada, e não havia maneira de fazer patches online OTA como agora.

O software tinha de ser gravado em CD ou escrito em milhões de disquetes para distribuição; se houvesse aqui algum grande problema de segurança… acabou, acabou tudo.

Por isso, nessa altura o software tinha de aguentar martelo e bigorna, passando por testes exaustivos.

Hoje, a indústria de software poderá ser “forçada” pela IA a voltar a adoptar este tipo de critério “exagerado” de controlo de qualidade.

O modelo de “publica e depois deixa andar” deixou de funcionar de vez.

Cada software é agora um alvo vivo.

Os mecanismos de bloqueio deixaram de funcionar; se o fabricante encontrar uma vulnerabilidade, já não há desculpa para “escondê-la e não a divulgar”.

Até porque, mesmo que alguém avise previamente o fabricante, quem é que garante que não haverá maus elementos a usar também IA para descobrir o mesmo problema e depois o usar para atacar os utilizadores?

Assim, assim que uma falha (bug) é reportada, o mantenedor tem de a corrigir imediatamente.

Quanto a isto, wtarreau diz estar entusiasmado.

Embora pareça um bocado assustador e, na verdade, seja bastante cansativo, a qualidade do software pode vir a ter um salto sem precedentes.

Mas, para este tipo de “preocupação feliz”, há utilizadores que dizem que não conseguem de todo identificar-se.

Ele afirmou que estes programadores Linux estão apenas a fazer auto-motivação; algumas falhas nem sequer são do interesse de ninguém, e uma actualização cega só traria desastres de compatibilidade.

Por isso, recomenda que os mantenedores se concentrem, não mudem nada só porque a IA disse para fazer; basta “fechar a porta” às vulnerabilidades mais graves ao nível do sistema.

Quanto a esta opinião, outro utilizador apontou sem rodeios que isto é completamente sem sentido, uma desculpa atrás de outra.

Mas talvez exista aqui um problema ainda mais real —

“Preocupações felizes” podem soar demasiado bonitas; quem garante que isto não vai ser um inferno de segurança sem precedentes?

A velocidade com que os mantenedores corrigem bugs consegue mesmo correr mais depressa do que a velocidade com que criminosos usam IA para cavar vulnerabilidades?

Mas, afinal, não tem problema — se não conseguimos bater, então juntamo-nos.

Actualmente, a IA ainda está mais a auxiliar no desenvolvimento do kernel Linux, ainda não escreve código completo de forma oficial.

Mas hoje, esta linha está a ficar cada vez mais difusa.

Até o próprio Greg dos kernels já começou a fazer experiências com IA.

Embora seja necessário limpar manualmente estes patches, adicionar um bonito sumário de submissão e depois integrá-los, de forma nenhuma se pode chamá-los “lixo de IA”.

“Estas ferramentas são úteis”, reconheceu Greg. “Não podemos fingir que não as vemos. Elas já chegaram, e estão cada vez mais fortes.”

Os programadores também são honestos no corpo. “Já vimos que alguns patches são realmente gerados por IA”, acrescentou Greg.

E o maior benefício de fazer isto é a velocidade de resposta.

Greg mencionou que, agora, temos muitos robots a olhar para os patches e a verificá-los.

Se a verificação não passar, os programadores recebem uma resposta rapidamente e podem dar feedback: “Está bem, então envio amanhã outra versão.”

Desta forma, a velocidade a corrigir com patches passa a ser alinhada com a velocidade a que a IA “abre buracos”.

Para o Linux, a relação com a IA já é um problema que eles não podem deixar de pensar.

É tanto uma oportunidade como um desafio.

Por um lado, a IA traz novas fontes de vulnerabilidades, aumentando o peso da verificação manual.

Mas por outro lado, a IA também ajuda a aliviar essa pressão.

Talvez o que os mantenedores do kernel Linux enfrentam actualmente seja um retrato em miniatura do panorama completo desta revolução da IA.

A IA está a desenvolver-se rapidamente, e esse desenvolvimento também nos obriga a abraçá-la.

Cinto de segurança apertado.

Links de referência:

[1]

[2]

[3]

Muitas informações e leituras precisas, tudo na app de Sina Finance