KubeCon Europeカンファレンスで、The RegisterはLinuxカーネルの安定版とステージング版の保守を担当し、16のカーネルサブシステムの保守も行うGreg Kroah-Hartman氏にインタビューを行った。インタビューでは、AIを活用したバグ報告に対するKroah-Hartman氏のアプローチについて議論された。AIは既にカーネル内でネットワークサブシステム、eBPF、DRMへの変更レビューに使用されており、最近ではGoogleのSashikoツールが提出された変更のレビューに統合された。
グレッグの言葉をいくつか紹介します。
- 「数か月前までは、いわゆるAIゴミ、つまり明らかに間違っていたり質の低いAI生成のセキュリティレポートばかりを受け取っていました。笑ってしまうほどでした。特に心配もしていませんでした。ところが1か月前、何かが起こり、状況は劇的に変わりました。今では、ちゃんとしたレポートを受け取れるようになったのです。」
- 「この状況はLinuxに限ったことではなく、すべてのオープンソースプロジェクトがAIによって生成された実際のレポートを受け取っており、それらは今や高品質で有効なものとなっている。主要なオープンソースプロジェクトのセキュリティチームも、非公式な議論の中で同様の傾向に気づいている。」
- 何が原因かと尋ねられたグレッグは、「私たちにもわかりません。誰もわかっていないようです。ツールの性能が大幅に向上したのか、あるいは人々が『よし、これを解決しよう』と言い始めたのか。多くの異なるグループや企業に影響が出ているようです。コア部分に関しては、私たちは対応できます。私たちのチームは規模が大きくなり、非常に分散化されており、成長は着実に進んでいて、減速していません。これらは些細なことで、重大な問題ではありませんが、すべてのオープンソースプロジェクトは、この問題への対応に助けが必要でしょう。小規模なプロジェクトは、ゴミではなく実際のバグを指摘するAI生成のバグ報告や脆弱性報告が突然大量に流入した場合、対応能力がはるかに低いのです。」と答えた。
- グレッグは、提案された変更履歴からバグを探すようAIに依頼したところ、60個のバグが見つかり、それらを修正するパッチが提供されたと説明した。見つかったバグのうち実際にバグだったのは3分の1だけで、パッチのうち正しく修正作業が不要なのは3分の2だけだったが、決して無駄ではなかった。グレッグによれば、特にAIの結果がどんどん良くなっているため、メンテナーはこれを無視することはできない。AIを使用して作成されたパッチには、「共同開発:」タグが追加されている。AIを使用して新しい機能を作成する試みもいくつかあったが、コアにおけるAIは主に変更レビューに使用されている。
- AIの最も注目すべき利点の1つは、パッチ処理時間の短縮です。AIアシスタントが明らかな問題を特定すると、パッチ作成者は人間のメンテナーがパッチを読むよりもずっと早くフィードバックを受け取ることができます。「システムが何らかの問題に反応しているのを見ると、メンテナーよりも早く作成者にフィードバックが届くので、これは素晴らしいことです。すでにパッチをチェックするボットがいくつか稼働しています。エラーが発生していることに気づけば、メンテナーとして私が確認する必要すらなく、すぐに理解できます。開発者は『ああ、明日別のバージョンを作ればいいんだ』と考え、フィードバックループの改善に役立っています。」
出所: オープンネット.ru
