Linus Torvalds: Báo cáo lỗi từ AI đang làm tê liệt danh sách bảo mật Linux

Linus Torvalds: Báo cáo lỗi từ AI đang làm tê liệt danh sách bảo mật Linux

Nhà sáng lập Linux, Linus Torvalds, vừa bày tỏ sự thất vọng về làn sóng báo cáo lỗi bảo mật được tạo ra bởi trí tuệ nhân tạo. Ông cho rằng sự trùng lặp quá mức từ các công cụ AI đang khiến danh sách bảo mật của kernel trở nên quá tải và không thể quản lý.

Hình ảnh minh họa về AI và bảo mật

Vấn đề của sự trùng lặp

Trong bài viết mới nhất về tình trạng kernel, Linus Torvalds nhận định rằng "làn sóng báo cáo từ AI về cơ bản đã khiến danh sách bảo mật trở nên gần như không thể quản lý". Nguyên nhân chính là do sự trùng lặp khổng lồ, khi nhiều người khác nhau sử dụng cùng một công cụ AI để phát hiện ra cùng một lỗi.

Theo The Register, Torvalds cho rằng tình trạng này tạo ra một lượng công việc thừa thãi (churn) vô nghĩa. Ông nhấn mạnh rằng các tài liệu hướng dẫn có thể nói chuyện nhẹ nhàng hơn, nhưng ông muốn nói thật rõ ràng một điều:

"Nếu bạn tìm thấy một lỗi bằng các công cụ AI, khả năng cao là người khác cũng đã tìm thấy nó rồi."

Torvalds cũng chỉ ra rằng, vì các lỗi này được tìm thấy bởi các công cụ AI công khai nên chúng không còn là bí mật. Việc xử lý chúng trên các danh sách bảo mật riêng tư chỉ làm lãng phí thời gian của mọi người tham gia và thậm chí còn làm tình trạng trùng lặp tồi tệ hơn, vì những người báo cáo không thể nhìn thấy báo cáo của nhau.

Đừng chỉ là người "qua đường"

Mặc dù công cụ AI đã từng giúp phát hiện ra các lỗ hổng nghiêm trọng như "Copy Fail" ảnh hưởng đến hầu hết các bản phân phối Linux, nhưng Torvalds muốn cộng đồng sử dụng chúng một cách có trách nhiệm hơn.

Ông khuyến khích những người muốn đóng góp không nên chỉ gửi các báo cáo ngẫu nhiên mà không có sự hiểu biết thực sự. Thay vào đó, họ nên tập trung vào việc tạo ra giá trị thực sự.

"Nếu bạn thực sự muốn thêm giá trị, hãy đọc tài liệu, tạo một bản vá (patch) và thêm một số giá trị thực sự trên những gì AI đã làm," Torvalds viết. "Đừng trở thành kiểu người 'qua đường' chỉ gửi một báo cáo ngẫu nhiên mà không có sự hiểu biết thực sự nào."

Chất lượng hơn số lượng

Quan điểm này cũng nhận được sự đồng tình từ các chuyên gia bảo mật khác. Jarom Brown, kỹ sư bảo mật sản phẩm cấp cao của GitHub, gần đây cũng đã phản hồi về làn sóng báo cáo lỗi do AI hỗ trợ.

Brown cho biết GitHub không có vấn đề gì với các công cụ AI nói chung, nhưng các báo cáo này cần được xác minh mới thực sự hữu ích. Một phát hiện được hỗ trợ bởi AI nhưng đã được xác minh, tái tạo và gửi kèm theo bằng chứng hoạt động sẽ là một bài đệm tuyệt vời. Ngược lại, một đầu ra chưa được xác thực được gửi nguyên trạng mà không có sự tái tạo hay chứng minh tác động thì không có giá trị.

"Nếu bạn đã ưu tiên số lượng, chúng tôi khuyến khích sự chuyển dịch sang chiều sâu," Brown chia sẻ. "Một phát hiện được nghiên cứu kỹ lưỡng và xác thực sẽ có giá trị hơn mười phát hiện mang tính suy đoán, cả về tiền thưởng lẫn uy tín."

Torvalds kết luận rằng các công cụ AI rất tuyệt vời, nhưng chỉ khi chúng thực sự giúp đỡ thay vì gây ra sự đau đớn không cần thiết và những công việc giả tạo vô nghĩa.