Aumento de relatórios duplicados gerados por IA torna lista de segurança do Linux ‘quase impossível de gerenciar’ segundo Linus Torvalds

Linus Torvalds descreveu a lista de discussão de segurança do núcleo Linux como “quase totalmente ingovernável”. Em uma postagem recente na Linux Kernel Mailing List (LKML), ele apontou para a enxurrada de relatórios duplicados sobre vulnerabilidades gerados por pesquisadores que utilizam as mesmas ferramentas de inteligência artificial em códigos semelhantes. Essa crítica veio junto com o lançamento do Linux 7.1-rc4 e uma nova documentação que formaliza como os relatórios de erros assistidos por IA devem ser tratados.

De acordo com Torvalds, o problema surge da combinação de alto volume e redundância. Vários pesquisadores estão encontrando bugs idênticos de forma independente, utilizando ferramentas automatizadas e registrando-os separadamente em uma lista de discussão privada. Isso resulta em um desgaste para os mantenedores, que acabam gastando muito tempo triando as duplicações e direcionando os relatórios para soluções já implementadas semanas antes.

Os bugs detectados por IA, segundo Torvalds, não são, por definição, segredos. Ele ressaltou que tratá-los em uma lista privada é uma perda de tempo para todos. A equipe de manutenção do projeto também foi orientada a lidar com os bugs encontrados por meio de documentação específica. Essa abordagem moderna exige que os pesquisadores não apenas relatam suas descobertas, mas que também verifiquem a documentação e criem correções reais.

Nos últimos meses, o volume de relatórios na lista de segurança cresceu drasticamente. Há cerca de dois anos, a lista recebia de dois a três relatórios semanalmente; hoje, esse número subiu para cinco a dez por dia. A maioria das descobertas é relevante, mas a repetição deixa o processo atual de triagem sobrecarregado.

Torvalds incentivou os pesquisadores a “ir mais longe do que apenas relatar descobertas brutas”. Ele pediu que, para agregar valor, leiam a documentação, criem correções e assumam a responsabilidade pelo que enviam. Essa perspectiva já está sendo adotada por outros desenvolvedores, que estão utilizando ferramentas potentes para descobrir, corrigir e submeter problemas de forma pública.

Recentemente, o projeto do núcleo Linux formalizou uma política mais ampla sobre contribuições assistidas por IA. Essa política estabelece que o código gerado por IA deve ser submetido com regras de divulgação claras. De acordo com essa nova diretriz, agentes de IA não podem usar a tag “Signed-off-by”, devendo, em vez disso, apresentar uma nova tag “Assisted-by” para garantir transparência. Todos os códigos e eventuais bugs gerados permanecem sob a responsabilidade do humano que os submete.