Широкое распространение ИИ-инструментов для анализа кода обернулось неожиданной головной болью для разработчиков операционных систем с открытым исходным кодом. Создатель и бессменный лидер проекта Linux Линус Торвальдс в своём свежем отчёте о состоянии ядра резко раскритиковал исследователей безопасности, которые массово заваливают команду однотипными отчётами, сгенерированными нейросетями.

По словам Торвальдса, бесконечный поток ИИ-сообщений сделал закрытый список рассылки по безопасности практически неуправляемым. Проблема усугубляется колоссальным дублированием данных, поскольку разные люди используют одни и те же популярные ИИ-инструменты на одном и том же коде и находят абсолютно идентичные баги.

Торвальдс подчеркнул, что если уязвимость была обнаружена с помощью ИИ, то с огромной долей вероятности её уже нашёл кто-то другой. Подобную лавину дубликатов на закрытом канале он назвал «абсолютно бессмысленной суетой, которая лишь тратит драгоценное время мейнтейнеров ядра на ручную сортировку и фильтрацию спама». Глава Linux объявил, что отныне баги, найденные нейросетями, по определению не будут считаться секретными. Их обработка в приватном режиме бессмысленна ещё и потому, что сами авторы репортов не видят заявок друг друга и продолжают слать копии.

Иллюстрация: Nano Banana

Линус добавил, что не имеет ничего против ИИ как такового, если он действительно помогает, а не создаёт видимость работы и лишнюю головную боль. Он призвал энтузиастов не быть поверхностными пользователями, которые отправляют случайные отчёты без реального понимания сути проблемы. Чтобы принести реальную пользу сообществу, исследователь должен изучить документацию и самостоятельно написать готовый патч (исправление) поверх того, что подсказала нейросеть.

Примечательно, что это заявление Торвальдса прозвучало на фоне недавнего релиза разрушительного эксплойта Copy Fail (CVE-2026-31431), который затронул почти все дистрибутивы Linux начиная с 2017 года. Этот критический баг в криптографическом подсистеме ядра был обнаружен как раз с помощью ИИ всего за час сканирования. Однако в случае с Copy Fail эксперты предоставили рабочий и верифицированный код атаки, что кардинально отличает этот случай от сотен «мусорных» заявок.

С аналогичной проблемой столкнулись и крупнейшие ИТ-платформы. Старший инженер по безопасности продуктов GitHub Джером Браун (Jarom Brown) подтвердил, что компания фиксирует волну низкокачественных ИИ-отчётов. Он пояснил, что GitHub лояльно относится к автоматизации, но любой отчёт должен быть вручную проверен, воспроизведён и снабжён рабочим доказательством (PoC). В противном случае сырой вывод нейросети является бесполезным шумом. Браун призвал охотников за багами сместить фокус с количества на глубину, напомнив, что один качественно исследованный и подтверждённый баг ценится в программах Bug Bounty и в профессиональном сообществе гораздо выше, чем десяток умозрительных догадок ИИ.