オランダのLinux開発者であるグレッグ・クローア=ハートマン氏は、The Registerに対し、「人工知能」によって生成された脆弱性に関する報告の変化について語った。
約1か月前、AIの脆弱性報告の質が劇的に向上した。以前はほとんどが役に立たないものだったが、Kroah-Hartman氏によれば、これはカーネルにとって大きな問題ではなかった(cURLとは異なり)。開発者は多数おり、彼らはそれに対処していたため、役に立たないものは心配というより笑い話だった。しかし、ここ1か月で、提出された報告のかなりの割合が本当に役立つものになった。これは他のオープンソースプロジェクトにも当てはまる。理由は不明だ。ツールが改善されたのか、あるいは人々が正しく使い始めたのか、どちらかだろう。
レポートやパッチを提出する開発者たちは、AIの作業を正直にAIの作業として明記し始めている。エラー条件が単純で容易に特定できる場合、AIはすでに数十個のパッチを生成できる能力を持っている。
Googleが提供したSashikoについて、Kroah-Hartman氏は、提出されたパッチを迅速に評価するためのツールが必要だったと述べた。ほとんどのパッチは既にSashikoで評価されており、誰でも利用できる。
レビューのためのLLMは、当初ネットワークサブシステムとBPFの開発者によって使用されていました。その後DRMが登場しましたが、これには多くのリソースが必要でした。Googleのツールによって、これは誰でも利用できるようになり、すべてが共通のインターフェースに集約されることになります。
これらのチェックは既存のチェックに「追加」されるものであり、「決定的な」ものではありません。開発者がパッチを提出した際の対応を迅速化するために役立ちます。クロア=ハートマン氏は、AIによるバグ報告やパッチの数が増加すると予想しており、その処理速度を向上させる方法を模索しています。自動チェックで不合格となった場合、保守担当者はその問題を回避できます。
クロア=ハートマン氏は、AIによって脆弱性の検出が容易になった一方で、カーネル保守担当者の作業負荷が増加したと考えている。したがって、AIを活用して彼らの仕事を楽にすることが賢明だろう。
出所: linux.org.ru
