Ferramentas de IA inundam mantenedores do Linux com duplicatas de relatórios de vulnerabilidades

Os mantenedores do kernel do Linux enfrentaram um problema inesperado: ferramentas de IA para busca de vulnerabilidades geram tal volume de relatórios de bugs que os voluntários simplesmente não conseguem processá-los. Milhares de duplicatas e relatórios de baixa qualidade paralisam o trabalho em problemas reais de segurança.

Escala do Influxo

A onda de relatórios automáticos cresce a cada semana. Ferramentas de IA treinadas em código-fonte verificam o Linux em busca de vulnerabilidades potenciais e criam automaticamente relatórios de bugs. O problema é que os algoritmos geram muitas duplicatas da mesma questão – de diferentes ferramentas, em diferentes formatos, com diferentes níveis de detalhe. Os mantenedores são principalmente voluntários trabalhando em tempo livre. Cada relatório precisa ser lido, compreendido, ter sua reprodutibilidade verificada e decidir se é uma vulnerabilidade real ou um falso positivo. Quando os relatórios chegam às centenas por dia, o processo congela.

Por que a IA Cria Ruído

Nos últimos dois anos, modelos LLM como ChatGPT, Deepseek e Claude se tornaram mais acessíveis e poderosos. Entusiastas e empresas lançaram scanners automatizados baseados nesses modelos para busca de vulnerabilidades. No papel, parece útil – olhos adicionais no código. Na prática, isso cria um problema de sobrecarga de informações. A IA frequentemente dispara em código que parece suspeito, mas na verdade é seguro no contexto do Linux. Os modelos nem sempre entendem as peculiaridades do kernel, a arquitetura de segurança e as proteções existentes. O resultado – centenas de "descobertas" que se mostram inúteis.

As Consequências Já São Visíveis

O influxo de relatórios ruidosos afeta o processo de desenvolvimento:

• Vulnerabilidades críticas reais se perdem no fluxo de duplicatas e falsos positivos
• Os mantenedores são forçados a gastar tempo com triagem em vez de codificar
• Alguns voluntários ameaçam se afastar do projeto por exaustão
• A velocidade de patching dos problemas reais diminui
• O processo de revisão se torna mais cansativo e lento

Os desenvolvedores sugeriram criar um filtro separado ou quarentena para relatórios de IA, para separar fisicamente daqueles gerados por humanos.

O Que Isso Significa

Um paradoxo: ferramentas que deveriam melhorar a segurança, na verdade a dificultam. A IA é útil para encontrar padrões, mas requer filtragem humana e compreensão do contexto. A comunidade Linux pode enfrentar uma escolha: ou fechar o rastreamento de bugs para ferramentas automáticas, ou criar um procedimento de verificação de relatórios antes da publicação.