لینوس توروالدز: سیل گزارش‌های باگ هوش مصنوعی، لیست امنیتی لینوکس را غیرقابل مدیریت کرده است

لینوس توروالدز، خالق سیستم‌عامل لینوکس، اخیراً در پستی در لیست پستی هسته لینوکس (LKML) ابراز نگرانی کرده است که حجم بالای گزارش‌های اشکال (باگ) که توسط ابزارهای هوش مصنوعی تولید می‌شوند، مدیریت لیست امنیتی لینوکس را تقریباً غیرممکن کرده است. وی تأکید کرد که بسیاری از این گزارش‌ها تکراری هستند، زیرا افراد مختلف با استفاده از ابزارهای مشابه، خطاهای یکسانی را کشف می‌کنند.

این وضعیت باعث ایجاد یک "لاگ‌جم" (logjam) یا انسداد در پردازش گزارش‌های امنیتی شده است. توروالدز اشاره کرد که این حجم انبوه گزارش‌های تکراری، زمان و انرژی تیم توسعه‌دهنده را به شدت هدر می‌دهد و روند رسیدگی به آسیب‌پذیری‌های واقعی را کند می‌کند. او گفت که ابزارهای هوش مصنوعی اگرچه می‌توانند مفید باشند، اما نحوه استفاده از آن‌ها برای اطمینان از تولید ارزش واقعی، حیاتی است.

چالش‌های گزارش‌دهی باگ با کمک هوش مصنوعی

توروالدز به طور خاص به پدیده‌ی گزارش‌های تکراری اشاره کرد و گفت: "این واقعیت که افراد مختلف با ابزارهای مشابه، چیزهای یکسانی را پیدا می‌کنند، اساساً لیست امنیتی را غیرقابل مدیریت کرده است." او این موضوع را "چرخش کاملاً بی‌معنی" (pointless churn) نامید و تأکید کرد که این رویکرد کارایی تیم امنیتی را به شدت کاهش می‌دهد.

او افزود که این مسئله به ویژه زمانی تشدید می‌شود که گزارش‌ها بدون ارائه راه‌حل یا وصله (patch) ارسال می‌شوند. به گفته توروالدز، اگر یک باگ با استفاده از ابزارهای هوش مصنوعی کشف شده باشد، احتمال بسیار زیادی وجود دارد که افراد دیگری نیز همان مشکل را با همان ابزار کشف کرده باشند. بنابراین، نگهداری از این گزارش‌ها در یک لیست خصوصی، اتلاف وقت است و فقط باعث تشدید تکرار می‌شود، زیرا گزارش‌دهندگان حتی نمی‌توانند گزارش‌های یکدیگر را ببینند.

راهکارهای پیشنهادی توروالدز

خالق لینوکس پیشنهاد کرد که برای افزودن ارزش واقعی به گزارش‌ها، توسعه‌دهندگان باید فراتر از صرف گزارش یک باگ عمل کنند. او گفت: "اگر می‌خواهید ارزش واقعی اضافه کنید، مستندات را بخوانید، یک وصله (patch) نیز ایجاد کنید و مقداری ارزش واقعی بالاتر از آنچه هوش مصنوعی انجام داده اضافه کنید." وی از اینکه افراد صرفاً "گزارش تصادفی بدون درک واقعی" ارسال کنند، انتقاد کرد.

توروالدز بر اهمیت تولید ارزش افزوده تأکید کرد و گفت: "ابزارهای هوش مصنوعی عالی هستند، اما تنها در صورتی که واقعاً کمک کنند، نه اینکه باعث درد و رنج غیرضروری و کارهای ساختگی بی‌معنی شوند." او توسعه‌دهندگان را تشویق کرد تا از این ابزارها به گونه‌ای استفاده کنند که "مفید باشد و تجربه‌ی بهتری را ایجاد کند."

تجربیات مشابه در صنعت

این نگرانی‌ها تنها مختص به توروالدز نیست. جاروم براون، مهندس امنیت محصول ارشد در گیت‌هاب، نیز اخیراً در واکنش به موجی از گزارش‌های باگ تولید شده توسط هوش مصنوعی، دیدگاه مشابهی را مطرح کرد. وی اظهار داشت که گیت‌هاب مشکلی با استفاده از ابزارهای هوش مصنوعی ندارد، اما گزارش‌های کمک‌شده با هوش مصنوعی برای مفید بودن نیاز به اعتبارسنجی دارند.

براون توضیح داد: "یک یافته با کمک هوش مصنوعی که تأیید، بازتولید و با یک اثبات مفهوم (proof of concept) کارآمد ارسال شده باشد، یک گزارش عالی محسوب می‌شود. اما خروجی تأیید نشده که بدون بازتولید یا نمایش تأثیر، به همان شکل ارسال شود، اینطور نیست." او محققان را تشویق کرد تا به جای اولویت دادن به حجم گزارش‌ها، بر "عمق" تمرکز کنند. وی تأکید کرد که "یک یافته با تحقیقات خوب و تأیید شده، ارزش بیشتری نسبت به ۱۰ یافته‌ی احتمالی دارد."

تحلیل تاثیر

اظهارات لینوس توروالدز و جاروم براون نشان‌دهنده چالش فزاینده‌ای است که ابزارهای هوش مصنوعی مولد در فرآیندهای کشف و گزارش اشکالات نرم‌افزاری ایجاد می‌کنند. در حالی که این ابزارها پتانسیل تسریع فرآیند کشف آسیب‌پذیری‌ها را دارند، عدم وجود مکانیزم‌های اعتبارسنجی و گزارش‌دهی دقیق می‌تواند منجر به افزایش حجم غیرضروری گزارش‌ها و کاهش کارایی تیم‌های امنیتی شود. این وضعیت نیازمند توسعه رویه‌های جدید و آموزش بهتر برای استفاده‌کنندگان از این ابزارها در جهت افزایش کیفیت و کاهش تکرار گزارش‌ها است تا بتوان از مزایای هوش مصنوعی در امنیت نرم‌افزار به طور مؤثر بهره برد.