Torvalds氏:AI自動バグ発見ツールがLinuxセキュリティMLを管理不能に
Original: Linux security mailing list 'almost unmanageable' View original →
状況
Linuxカーネルのセキュリティメーリングリストが、AI生成のバグレポートに圧倒されています。複数の研究者が同じAIツールを使って同じ脆弱性を独立に発見し、それぞれプライベートリストに報告することで、重複処理の負担が管理不能な水準に達しています。The Registerの報道によると、Torvalds氏はこの状況を「不要な苦痛と無意味な作業」を生み出していると表現しました。
Torvalds氏の主張
氏が指摘する本質的な矛盾:AIで検出されたバグは定義上、秘密ではありません。複数の研究者が同じAIツールを使えば、同じ脆弱性を独立に発見するため、プライベートリストを経由させる意味がないのです。
氏の推奨:AIツールでバグを見つけたなら、他の誰かもすでに見つけている可能性が高い。レポートを提出するだけでなく、パッチを書いて真の価値を付加してほしいということです。
メンテナーが直面する現実
- 重複レポートの転送・確認に過大な時間を費やすカーネルメンテナー
- すでに修正済みのバグが繰り返し報告される事例
- S/N比の低下により実際の脅威の優先順位付けが困難に
異なる見方と広い文脈
カーネルメンテナーのGreg Kroah-Hartman氏は最近、オープンソースにおけるAIの有用性についてより楽観的な見方を示しており、Linux内部でもAIの役割に対する見方が一致していないことを示しています。AIセキュリティツールの普及は脆弱性発見を加速させる一方、コミュニティが依存する責任ある開示プロセスに新たな負担をかけています。
Related Articles
Googleは、AIによってvulnerability discoveryと攻撃自動化の両方が加速するなか、open source maintainer支援を強化する新施策を公表した。発表はAlpha-Omega経由の共同$12.5 million pledgeと、Big Sleep、CodeMender、Sec-GeminiのようなAI defender toolsを同じ文脈で打ち出している。
公開Issueに埋め込んだ指示がprivate repositoryへのアクセスにつながる可能性が示され、HNではagent権限の切り方が論点になった。
Anthropicが2月20日に発表したClaude Code Securityは、AIがコードベースを人間の研究者のように読み解き脆弱性を検出するツールだ。オープンソースコードで500件超の長期未発見バグを発見し、発表当日にサイバーセキュリティ株が急落した。