Linus Torvalds (foto) haalt hard uit naar de groeiende stroom AI-gegenereerde bugmeldingen binnen de Linux-kernelgemeenschap. Volgens de Linux-bedenker zorgen automatische analyses steeds vaker voor dubbele meldingen en extra werk voor ontwikkelaars, zonder dat daar inhoudelijke meerwaarde tegenover staat.
Torvalds maakte zijn opmerkingen bij de publicatie van Linux 7.1-rc4, de nieuwste release candidate van de kernel. De technische voortgang van die versie noemt hij grotendeels normaal. Ongeveer de helft van de wijzigingen bestaat uit driverupdates, waarbij GPU-code opnieuw een groot aandeel heeft. Daarnaast bevat de update aanpassingen aan netwerkfunctionaliteit, de kernelcore, filesystems en architectuurspecifieke onderdelen.
AI-meldingen verstoren securityproces
Opvallender was zijn uitgebreide toelichting op de groeiende impact van AI-tools op het securityproces rond Linux. Volgens Torvalds raakt de beveiligingsmailinglijst steeds moeilijker beheersbaar doordat verschillende onderzoekers met dezelfde AI-tools identieke kwetsbaarheden signaleren en afzonderlijk rapporteren.
Daardoor zijn ontwikkelaars volgens hem veel tijd kwijt aan het doorsturen van meldingen, het beantwoorden van dubbele rapporten en het uitleggen dat bepaalde problemen al eerder zijn opgelost. In veel gevallen zou het bovendien gaan om bekende of reeds publiek besproken fouten.
Torvalds stelt dat AI-gegenereerde kwetsbaarheden in de praktijk nauwelijks nog als vertrouwelijk kunnen worden beschouwd. Wanneer een AI-tool een probleem kan detecteren, is de kans volgens hem groot dat meerdere anderen datzelfde probleem vrijwel gelijktijdig ontdekken. Om die reden vindt hij het weinig zinvol om dergelijke meldingen nog via besloten beveiligingskanalen af te handelen.
Torvalds wijst AI niet af
De Linux-maker benadrukt tegelijk dat hij AI-tools niet afwijst. Volgens hem kunnen dergelijke systemen juist nuttig zijn wanneer ze ontwikkelaars helpen sneller problemen te analyseren of code te verbeteren. Zijn kritiek richt zich vooral op mensen die zonder verdere analyse automatisch gegenereerde bugrapporten indienen.
Volgens Torvalds voegen dergelijke meldingen weinig toe wanneer de indiener zelf geen begrip van de codebase toont en ook geen oplossing of patch aanlevert. Hij roept ontwikkelaars daarom op om documentatie te lezen, de context van een fout te begrijpen en eigen technische meerwaarde toe te voegen bovenop wat AI-tools signaleren.
Daarmee maakt Torvalds duidelijk dat hij van ontwikkelaars meer verwacht dan alleen het doorsturen van AI-output. Wie echt wil bijdragen aan de Linux-kernel, zou volgens hem ook moeten helpen bij het analyseren en oplossen van de gevonden problemen.
De opmerkingen onderstrepen een bredere discussie binnen open sourceprojecten over de rol van AI in softwareontwikkeling. Automatische analysetools maken het eenvoudiger om fouten en kwetsbaarheden op grote schaal te detecteren, maar veroorzaken tegelijk een sterke toename van meldingen die handmatig moeten worden beoordeeld.