ИИ-инструменты заваливают мейнтейнеров Linux дубликатами отчетов об уязвимостях
Мейнтейнеры ядра Linux завалены тысячами дубликатов баг-отчетов, которые создают ИИ-инструменты для автоматического поиска уязвимостей. Волонтеры просто не спра
Мейнтейнеры ядра Linux столкнулись с неожиданной проблемой: ИИ-инструменты для поиска уязвимостей генерируют такой объем баг-отчетов, что волонтеры просто не успевают их обрабатывать. Тысячи дубликатов и низкокачественных отчетов парализуют работу над реальными проблемами безопасности.
Масштаб наплыва Волна автоматических отчетов растёт с каждой неделей.
ИИ-инструменты, обученные на исходных кодах, сканируют Linux в поисках потенциальных уязвимостей и автоматически создают баг-репорты. Проблема в том, что алгоритмы генерируют множество дубликатов одного и того же вопроса — от разных инструментов, в разных форматах, с разным уровнем детализации. Мейнтейнеры — в основном волонтеры, работающие в свободное время. Каждый отчет нужно прочитать, понять, проверить воспроизводимость и решить, это ли реальная уязвимость или ложное срабатывание. Когда отчетов становится сотни в день, процесс замораживается.
Почему ИИ создает шум
За последние два года LLM-модели вроде ChatGPT, Deepseek и Claude стали доступнее и мощнее. Энтузиасты и компании запустили автоматизированные сканеры на базе этих моделей для поиска уязвимостей. На бумаге это звучит полезно — дополнительные глаза на коде. На практике это создает проблему информационного перегруза. ИИ часто срабатывает на код, который выглядит подозрительно, но на самом деле безопасен в контексте Linux. Модели не всегда понимают особенности ядра, архитектуру безопасности и существующие защиты. Результат — сотни "находок", которые оказываются бесполезными.
Последствия уже видны
Наплыв шумных отчетов влияет на процесс разработки: Реальные критические уязвимости теряются в потоке дубликатов и ложных срабатываний Мейнтейнеры вынуждены тратить время на сортировку вместо кодирования Некоторые волонтеры угрожают отойти от проекта из-за усталости Скорость патчинга реальных проблем замедляется * Процесс review становится более утомительным и медленным Разработчики предложили создать отдельный фильтр или quarantine для ИИ-отчетов, чтобы физически отделить их от отчетов людей.
Что это значит
Парадокс: инструменты, которые должны улучшить безопасность, на самом деле её затрудняют. ИИ полезен для поиска паттернов, но требует человеческой фильтрации и понимания контекста. Linux сообщество может столкнуться с выбором: либо закрыть bug-tracking для автоматических инструментов, либо создать процедуру верификации отчетов перед публикацией.