Утримувач ядра Linux зламався! Штучний інтелект щодня надсилає по 10 звітів про вразливості, важко навіть зловити рибу

Покупка акцій — дивіться аналітику аналітиків «Золотого єдинорога», це авторитетно, професійно, своєчасно, всеосяжно — допоможе вам розкрити потенційні теми й можливості!

（Джерело: Квантуум）

Зламався програміст, який підтримує ядро Linux.

Тепер швидкість, з якою AI шукає баги, вища, ніж швидкість, з якою вони їх виправляють.

Ледь-ледь, працюючи понаднормово й до знемоги, усе розмінували, лягли поспати —

а коли прокинулися…

У поштовій скриньці знову ціла купа нових звітів про вразливості, все забито.

Найбільше збиває з ніг стан психіки те, що ці звіти, згенеровані AI, виявляються, на подив, здебільшого ще й правильними: навіть «потягнути час» нема за що зачепитися. І до того ж цей мітитер — «кібернаглядач», який не спить.

Не доробити, робота взагалі не скінчиться.

Хто б міг подумати, що AI стане кібербатогом для розробників Linux.

Але що вже з цим поробиш?

Оскільки вразливості вже тут наяву — то ж не можна просто вдавати, що нічого не бачиш, й чекати, доки хакери «вкрадуть дім».

Доводиться хапатися за справу й ночами сидіти ремонтувати.

Урешті-решт цьому підтримувачу доводиться лише безпорадно розвести руками: найближчим часом без шансів — тож радить колегам підготуватися психологічно, усім разом доведеться це терпіти.

Це не є окрема самотня трагедія якогось одного підтримувача.

«Кілька місяців тому ми отримали деякі згенеровані AI низькоякісні безпекові звіти», — згадує керівник ядра Linux Greg Kroah-Hartman, — «ми тоді взагалі не звернули на це уваги».

Спочатку люди думали, що це просто чергова купа сміття, згенерована AI.

Хто б міг подумати: за одну ніч AI перевдягнувся — і став першокласним білоголовим хакером.

Різні AI-звіти шалено бомбардують поштові скриньки, а точність — дуже висока —

Відкриваєш один лист — ну, цьому написано доволі логічно.

Дивишся наступний — ну от, що ж, і це теж правильно? ?

Одразу темрява в очах, і починається безкінечне «прибираємо заплати»…

Сингулярність прийшла надто раптово — навіть таким гуру ядра, як Greg, стало незрозуміло, що відбувається:

Greg зазначив, що команди безпеки великих open source-проєктів дуже часто спілкуються приватно; він прямо сказав: «Усі команди безпеки open source зараз переживають саме це».

Поки що ніяк не можуть відійти від шоку — але ж яке саме нове AI-знаряддя вийшло в люди?

Чи, може, люди раптом масово підключилися до підсвідомого — і одночасно вдарили себе по голові:

«Ей, пошук вразливостей за допомогою AI, мабуть, дуже цікаво — давайте спробуємо разом».

Яка б не була причина, одне — факт, який не викликає сумнівів —

На нас справді наїхало цунамі.

Розробники Linux не витримують!

На LWN.net один підтримувач ядра Linux із ніком wtarreau опублікував свій «момент краху».

Зростання кількості звітів — лише видимий ефект.

Насправді ж, від чого в нього здіймається волосся дибки, — це те, що щодня він бачить «побачення», яких раніше ніколи не бачив, і вони повторюються знову й знову:

Дві різні люди подали один і той самий звіт про вразливість

Знайте, раніше, щоб знайти безпекову вразливість, зазвичай потрібен був доволі високий технічний поріг; один звіт часто отримувався внаслідок глибокого ручного аналізу.

Це також означає, що в кожного — різні міркування, і люди рухаються в різні боки.

У такому величезному кодовому масиві Linux знову й знову знаходити ту саму вразливість?

Ймовірність — просто як виграти в лотерею.

Єдине пояснення: тепер ціла купа людей, які взагалі не займаються безпекою, почали використовувати AI для пошуку вразливостей.

І роблять це із задоволенням.

Через це робоче навантаження wtarreau миттєво вибухнуло — і йому довелося розширити команду, кликати людей на допомогу.

Втім, wtarreau не сказав, що скаржиться на щось: навпаки, він зазначив, що це «щаслива клопітність».

Але якщо подумати навпаки, можливо, це справді й непогано.

Це повернуло wtarreau до того часу — ще до 2000 року — золотих часів, про які безпековим підтримувачам тільки й мріялося.

Інтернет ще не був масовим — не було можливості, як тепер, в OTA режимі накочувати патчі онлайн.

Програмне забезпечення мало бути записане на CD або роздане через мільйони дискет: якщо десь траплялася серйозна вразливість безпеки… все, кінець.

Тому тоді програмам потрібно було витримувати тисячу випробувань.

Сьогодні, можливо, індустрію софту AI підштовхне до того, щоб знову підняти і знову впровадити такі «ненормальні» стандарти перевірки якості.

Модель «випустив — і більше не морочишся» повністю перестає працювати.

Кожне програмне забезпечення зараз — це жива мішень.

Механізми блокування не спрацьовують; якщо виробник виявляє вразливість, більше нема підстав відмовчуватися.

Адже навіть якщо когось попередили виробника заздалегідь, хто гарантує, що не знайдеться лиходій, який також використає AI, щоб виявити ту саму проблему, а потім атакуватиме користувачів?

Тому, щойно знаходиться баг і його повідомляють, підтримувачі повинні негайно його виправити.

На це wtarreau відреагував із неабияким піднесенням.

Хоча це звучить трохи лячно й, до того ж, справді дуже виснажливо, але якість софту може отримати безпрецедентний стрибок уперед.

Втім, для такої «щасливої клопітності» деякі користувачі в соцмережах заявляють, що жодним чином не можуть це зрозуміти.

Він прямо сказав, що ці розробники Linux просто тішать себе самозадоволенням: деякі недоліки взагалі нікого не хвилюють, а сліпі оновлення, навпаки, можуть спричинити катастрофу сумісності.

Тому він порадив підтримувачам зосередитися на головному: не змінювати нічого лише тому, що AI «щось сказав», а достатньо відсікти найбільш критичні системні вразливості.

На цю думку інший користувач відповів дуже різко: «Це суцільна нісенітниця, чистісіньке виправдання».

Але тут, можливо, є ще більш реальна проблема —

«Щаслива клопітність» може бути надто гарною історією; але хто гарантує, що це не перетвориться на безпрецедентний безпековий пекло?

Швидкість, з якою підтримувачі виправляють баги, реально зможе обігнати швидкість, з якою злочинці використовують AI для пошуку вразливостей?

Та насправді, нічого страшного: якщо не можемо обігнати — тоді приєднаємося.

Наразі в розробці ядра Linux AI здебільшого ще є допоміжним інструментом — він не встиг офіційно написати повний код.

Але тепер ця межа стає дедалі більш розмитою.

Самі «головні» люди з ядра, як Greg, уже почали ставити експерименти з AI.

Хоча ці патчі ще потрібно вручну трохи прибрати, додати гарні пояснювальні описи комітів і потім інтегрувати, їх категорично не можна називати «AI-сміттям».

«Ці інструменти корисні, — відверто сказав Greg. — Ми не можемо удавати, що їх не існує. Вони справді прийшли — і стають дедалі сильнішими».

Тіло розробників також дуже чесне. «Ми вже бачили деякі патчі, які справді згенеровані AI», — додав Greg.

А головна перевага такого підходу — швидкість реагування.

Greg згадав, що зараз у нас є багато роботів, які дивляться на патчі й перевіряють.

Якщо перевірка не проходить, розробники можуть швидко отримати відповідь і дати зворотний зв’язок: «Добре, тоді я подам версію завтра».

Таким чином, швидкість накочування патчів вирівнюється до рівня швидкості, з якою AI «копає діри».

Для Linux зв’язок з AI вже став питанням, яке вони просто змушені обмірковувати.

Це і можливість, і виклик.

З одного боку, AI приносить нові джерела вразливостей і збільшує навантаження на ручні перевірки.

Але з іншого боку, AI також допомагає послабити цей тиск.

Можливо, те, з чим зараз стикаються підтримувачі ядра Linux, — це скорочений відбиток усієї панорами AI-революції.

AI розвивається стрімко — і це зрушення змушує нас прийняти його.

Пристебніть ремені безпеки.

Покликання:

[1]

[2]

[3]

Море інформації, точна інтерпретація — усе в застосунку Sina Finance APP