Разработчик ядра Linux потерял терпение! ИИ ежедневно получает по 10 отчетов о уязвимостях, даже поймать рыбу становится трудно

Покупка акций на бирже — смотрите на аналитические материалы от аналитиков «Золотой цилинь», они авторитетны, профессиональны, своевременны и всеобъемлющи — помогут вам раскрывать перспективные темы и возможности!

（Источник：Sina Finance）

Хакер-администратор ядра Linux рухнул.

Теперь скорость, с которой AI ищет баги, выше, чем скорость, с которой они их исправляют.

Наконец-то, отработав сверхурочно и начисто разминировав все мины, поспал — а проснулся…

Почта снова была забита горой новых отчетов о уязвимостях.

Больше всего выбивает из колеи то, что сгенерированные этими AI отчеты, оказывается, в большинстве своем все еще верные. Даже «помучиться и помыть рыбу» не получится — какой уж там повод, если этот отправитель еще и «кибер-надзиратель», которому не нужно спать.

Не закончить — работы просто не кончаются.

Кто бы мог подумать, что AI станет кибер-«плеткой» для разработчиков Linux.

Но что теперь с этим поделать?

Раз уж уязвимости прямо тут на виду, нельзя же просто притвориться мертвыми и ждать, пока хакеры «украдут дом»?

Остается только стиснуть зубы и снова тянуть бессонную ночь, чтобы чинить.

В итоге этот поддерживающий просто развел руками: в ближайшее время выхода нет. Попросил коллег подготовиться психологически — придется всем вместе терпеть.

Это не чья-то отдельная личная печаль одного-единственного мейнтейнера.

«За несколько месяцев до этого мы получили некоторые сгенерированные AI отчеты о безопасности низкого качества», — вспоминал руководитель ядра Linux Greg Kroah-Hartman. — «Тогда мы вообще не придали этому значения».

Сначала всем казалось, что это просто очередная груда мусора, сгенерированного AI.

Но кто бы мог подумать: за одну ночь AI, как будто по щелчку, превратился в первоклассного белоголового хакера.

Разные AI-отчеты без остановки обрушивали почту, и при этом точность была крайне высокой —

Открываешь одно письмо — ну да, в целом звучит вполне убедительно.

Смотришь следующее — а что, и тут тоже верно? ?

В следующий миг — темно в глазах, и начинается бесконечное «латание дыр»…

Слишком внезапной пришла «сингулярность», что даже такие мастера ядра, как Greg, чувствовали растерянность:

Greg отметил, что команды безопасности крупных open-source-проектов общаются между собой очень часто и он прямо заявляет: «Все команды open-source по безопасности сейчас находятся в этой ситуации».

До сих пор не могут прийти в себя — что за новый инструмент AI внезапно появился?

Или люди внезапно массово подключились к подсознанию: словно все разом щелкнули пальцами и решили:

«Эй, копать уязвимости с помощью AI, кажется, очень интересно. Давайте попробуем вместе».

Какими бы ни были причины, один факт неоспорим —

Наступил настоящий цунами.

Разработчики Linux больше не выдерживают!

На LWN.net один из мейнтейнеров ядра Linux, известный под ником wtarreau, показал свой «момент краха».

Увеличение числа отчетов — лишь видимая сторона.

По-настоящему леденящее кровь — то, что каждый день можно было видеть «чудеса», которых раньше вообще не встречалось, и они снова и снова происходили:

Два разных человека отправили один и тот же отчет об уязвимости

Впрочем, раньше, чтобы найти уязвимость, обычно нужен был довольно высокий технический порог, и отчет часто становился результатом глубокого ручного анализа.

А это значит, что у каждого были свои мысли — и они шли в разные стороны.

В таком гигантском кодовом репозитории Linux находить один и тот же баг повторно?

Вероятность почти как выиграть в лотерею.

Единственное объяснение — что теперь куча людей, которые изначально вообще не занимались безопасностью, начали использовать AI, чтобы находить уязвимости.

И при этом им это даже нравится.

Из-за этого рабочая нагрузка wtarreau мгновенно взорвалась, и ему пришлось расширять команду и звать на помощь.

При этом wtarreau не сказал, что жалуется. Напротив, он заявил, что это «счастливая головная боль».

Но если подумать с другой стороны — возможно, это действительно хорошая новость.

wtarreau вспомнил «золотые времена», которые еще до 2000 года были кошмаром и мечтой для мейнтейнеров безопасности.

Интернет еще не был повсеместным, и нельзя было так, как сейчас, делать OTA-обновления с патчами.

Программное обеспечение нужно было записывать на CD или распространять в виде миллионов дискет: если на той стороне вдруг находилась серьезная уязвимость безопасности… все, конец, конец всему.

Поэтому тогда софт должен был выдерживать тысячу испытаний и выковки.

Сегодня, возможно, индустрию ПО AI вынудит снова подобрать такие «ненормальные» стандарты контроля качества.

Модель «выпустили — и бросили на самотек» больше не работает полностью.

Каждая программа теперь — это живая мишень.

Механизмы бана неэффективны. Если вендор обнаружит уязвимость, больше нет оправдания «держать это в тишине».

Ведь даже если кто-то заранее уведомил вендора, кто гарантирует, что злодеи не используют AI, чтобы найти ту же проблему, а затем атаковать пользователей?

Так что как только о баге сообщают, мейнтейнеры обязаны немедленно исправлять.

На это wtarreau сказал, что он очень воодушевлен.

Да, звучит страшновато и, конечно, довольно тяжело, но качество ПО может получить беспрецедентный скачок вверх.

Но что касается такой «счастливой головной боли», то некоторые пользователи заявили, что никак с этим не могут согласиться и сопереживать.

Он прямо сказал, что эти разработчики Linux занимаются самоуспокоением: какие-то недостатки вообще никого не волнуют, а слепое обновление как раз приведет к катастрофе совместимости.

Поэтому он посоветовал мейнтейнерам сосредоточиться: не менять все подряд только потому, что сказал AI. Нужно лишь держать под контролем самые критичные системные уязвимости.

На эту позицию другой пользователь ответил без обиняков: это полнейший вздор, чистой воды отговорки.

Однако здесь, возможно, есть еще более реальная проблема —

«Счастливая головная боль» может быть слишком прекрасной. Кто гарантирует, что это не превратится в беспрецедентный ад безопасности?

Сможет ли скорость мейнтейнеров, правящих баги, реально обогнать темп преступников, которые с помощью AI добывают уязвимости?

Но на самом деле и это не проблема: если не получается обогнать — тогда давай присоединимся.

Пока что AI в разработке ядра Linux чаще всего используется как помощник, и еще не пишет полноценный код официально.

Но сейчас эта граница становится все более и более размыта.

Сами «хедлайнеры» ядра уже начали ставить эксперименты с AI.

Хотя эти патчи все равно придется вручную зачищать, дописывать красивые описания коммитов и затем интегрировать, но точно нельзя называть их «мусором от AI».

«Эти инструменты действительно полезны», — признался Greg. — «Нельзя делать вид, что их нет. Они пришли — и становятся все сильнее».

Тело разработчиков тоже настроено честно. «Мы уже видели, что некоторые патчи действительно сгенерированы AI», — добавил Greg.

А главное преимущество в том, что это ускоряет реакцию.

Greg сказал, что теперь за патчами следит много роботов для проверки.

Если проверка не проходит, разработчики могут быстро получить ответ и тут же дать обратную связь: «Окей, тогда я завтра отправлю следующую версию».

Таким образом скорость патчинга будет выровнена по уровню со скоростью, с которой AI «роет» уязвимости.

Для Linux отношения с AI уже стали вопросом, о котором им приходится думать.

Это и возможность, и вызов.

С одной стороны, AI приносит новые источники уязвимостей и увеличивает нагрузку на ручную проверку.

Но с другой стороны, AI также помогает снижать это давление.

Возможно, то, с чем сталкиваются мейнтейнеры ядра Linux сейчас, и есть миниатюра этой панорамы AI-революции.

AI развивается стремительно, и это развитие заставляет нас неизбежно принять его.

Пристегните ремни безопасности.

Ссылки для справки：

[1]

[2]

[3]

Огромный объем информации, точные разъяснения — все в приложении Sina Finance APP