Tijdens de KubeCon Europe-conferentie interviewde The Register Greg Kroah-Hartman, die de stabiele en staging-branches van de Linux-kernel beheert en tevens verantwoordelijk is voor de maintainer van 16 kernelsubsystemen. In het interview bespreekt Kroah-Hartmans aanpak van AI-gestuurde bugrapporten. AI wordt al in de kernel gebruikt voor het beoordelen van wijzigingen aan het netwerksubsysteem, eBPF en DRM, en de Sashiko-tool van Google is recentelijk geïntegreerd voor het beoordelen van ingediende wijzigingen.
Enkele citaten van Greg:
- "Een paar maanden geleden ontvingen we wat we 'AI-rommel' noemden: door AI gegenereerde beveiligingsrapporten die duidelijk onjuist of van lage kwaliteit waren. Het was zelfs lachwekkend. We maakten ons er niet echt zorgen over... Een maand geleden gebeurde er iets waardoor de situatie drastisch veranderde. Nu ontvangen we echte rapporten."
- "Deze situatie is niet uniek voor Linux; alle open source-projecten ontvangen daadwerkelijke rapporten die door AI worden gegenereerd, en deze zijn nu van hoge kwaliteit en betrouwbaar. Beveiligingsteams bij grote open source-projecten merken dezelfde trend op in informele gesprekken."
- Toen hem werd gevraagd wat de oorzaak hiervan was, antwoordde Greg: "We weten het niet. Het lijkt erop dat niemand het weet. Ofwel zijn veel tools veel beter geworden, ofwel zijn mensen gaan zeggen: 'Hé, laten we dit eens uitzoeken.' Het lijkt erop dat het veel verschillende groepen en bedrijven treft. Aan de kernkant kunnen we het aan. Ons team is veel groter geworden, het is erg verspreid en onze groei is reëel en vertraagt niet. Dit zijn kleine dingen, niets ernstigs, maar alle open source-projecten kunnen hier wel wat hulp bij gebruiken. Kleinere projecten zijn veel minder goed in staat om een plotselinge toestroom van door AI gegenereerde bug- en kwetsbaarheidsrapporten te verwerken die echte bugs vermelden, geen onzin."
- Greg legde uit dat toen hij de AI vroeg om bugs te vinden in een voorgestelde changelog, deze er 60 vond en patches aanleverde om ze te verhelpen. Slechts een derde van de gevonden bugs waren daadwerkelijk bugs, en slechts twee derde van de patches waren correct en vereisten geen verdere aanpassingen, maar het was zeker niet nutteloos. Volgens Greg kunnen beheerders dit niet negeren, vooral omdat de resultaten van de AI steeds beter worden. Er is een "Co-developed:"-tag toegevoegd om patches te markeren die met behulp van AI zijn gemaakt. Ondanks enkele pogingen om AI te gebruiken voor het creëren van nieuwe functionaliteit, wordt AI in de kern voornamelijk gebruikt voor het beoordelen van wijzigingen.
- Een van de meest opvallende voordelen van AI is de verkorting van de verwerkingstijd van patches. Wanneer de AI-assistent duidelijke problemen identificeert, ontvangen patchauteurs feedback lang voordat een menselijke beheerder de tijd heeft om de patch te lezen: "Als ik zie dat het systeem ergens op reageert, geeft het de auteur sneller feedback dan een beheerder dat zou kunnen, en dat is geweldig. We hebben al een aantal bots die patches controleren. Als ik merk dat ze een foutmelding geven, begrijp ik meteen dat ik er als beheerder niet eens naar hoef te kijken. En de ontwikkelaar denkt: 'Oh, ik kan morgen een andere versie maken', wat de feedbackloop een beetje verbetert."
Bron: opennet.ru
