Alla conferenza KubeCon Europe, The Register ha intervistato Greg Kroah-Hartman, responsabile della manutenzione dei rami stabile e di staging del kernel Linux e manutentore di 16 sottosistemi del kernel. L'intervista verte sull'approccio di Kroah-Hartman alla segnalazione di bug tramite intelligenza artificiale. L'IA è già utilizzata nel kernel per la revisione delle modifiche al sottosistema di rete, a eBPF e a DRM, e recentemente è stato integrato lo strumento Sashiko di Google per la revisione delle modifiche inviate.
Alcune citazioni di Greg:
- "Qualche mese fa ricevevamo quella che definivamo spazzatura generata dall'IA: report di sicurezza creati dall'intelligenza artificiale chiaramente errati o di bassa qualità. Era persino divertente. Non ci preoccupavamo particolarmente... Un mese fa, però, è successo qualcosa e la situazione è cambiata radicalmente. Ora riceviamo report affidabili."
- "Questa situazione non è esclusiva di Linux: tutti i progetti open source stanno ricevendo report reali generati dall'intelligenza artificiale, e questi report sono ormai di alta qualità e validi. I team di sicurezza dei principali progetti open source stanno notando la stessa tendenza in discussioni informali."
- Quando gli è stato chiesto cosa stesse causando tutto ciò, Greg ha risposto: "Non lo sappiamo. Sembra che nessuno lo sappia. O molti strumenti sono migliorati notevolmente, oppure le persone hanno iniziato a dire: 'Ehi, cerchiamo di capire cosa sta succedendo'. Sembra che colpisca molti gruppi e aziende diversi. Per quanto riguarda il core, riusciamo a gestirlo. Il nostro team è cresciuto molto, è molto distribuito e la nostra crescita è reale e non accenna a rallentare. Si tratta di piccole cose, niente di grave, ma tutti i progetti open source potrebbero beneficiare di un po' di aiuto in questo senso. I progetti più piccoli sono molto meno in grado di gestire un improvviso afflusso di segnalazioni di bug e vulnerabilità generate dall'IA che menzionano bug reali e non spazzatura."
- Greg ha spiegato che quando ha chiesto all'IA di trovare bug in un changelog proposto, ne ha trovati 60 e ha fornito patch per correggerli. Solo un terzo dei bug trovati erano effettivamente bug e solo due terzi delle patch erano corrette e non richiedevano alcun lavoro, ma non è stato affatto inutile. Secondo Greg, i manutentori non possono ignorare questo dato, soprattutto perché i risultati dell'IA stanno migliorando. È stato aggiunto un tag "Co-developed:" per contrassegnare le patch create utilizzando l'IA. Nonostante alcuni tentativi di utilizzare l'IA per creare nuove funzionalità, nel core dell'applicazione l'IA viene utilizzata principalmente per la revisione delle modifiche.
- Uno dei vantaggi più notevoli dell'IA è la riduzione dei tempi di elaborazione delle patch. Quando l'assistente IA identifica problemi evidenti, gli autori delle patch ricevono un feedback molto prima che un manutentore umano abbia il tempo di leggerle: "Se vedo che il sistema sta reagendo a qualcosa, fornisce un feedback all'autore più velocemente di quanto potrebbe fare un manutentore, e questo è fantastico. Abbiamo già diversi bot che controllano le patch. Se noto che generano un errore, capisco immediatamente che, come manutentore, non ho nemmeno bisogno di esaminarle. E lo sviluppatore pensa: 'Oh, posso creare una versione diversa domani', il che contribuisce a migliorare un po' il ciclo di feedback."
Fonte: opennet.ru
