Se competere con i ritmi dell’AI è impossibile, rimanere umani è l’unica speranza per l’open-source

Raoul Scarazzini

Stavo leggendo l’ultimo articolo pubblicato da Daniel Stenberg sul proprio blog, intitolato The Pressure, e arrivato a metà mi sono chiesto: ma questo dove vuole andare a parare?

Di primo acchito la tematica sembrava semplice: AI e bug, una storia che stiamo raccontando da qualche tempo, con i maintainer dei più importanti progetti open-source (vedi lo stesso Torvalds per il Kernel Linux) che stanno cercando un modo per gestire l’impressionante quantità di segnalazioni di anomalie provenienti da sistemi automatizzati.

O meglio, da intelligenze artificiali a cui gli utenti danno in pasto l’intero codice sorgente di un progetto (in questo caso curl) e senza muovere un dito si ritrovano con un report di 10 pagine, completo di analisi, dettagli dell’anomalia, script per lo sfruttamento dell’exploit e, in qualche caso, anche la patch per risolverla.

Ma fin qui niente di nuovo sotto il sole, verrebbe da dire, tanto più che non molto tempo fa, era stato lo stesso Stenberg a sottolineare l’importanza di avere analisi AI del codice.

Poi qualcosa nella narrazione si è rotto.

Pare infatti che l’analisi AI da cui il creatore di curl aveva estratto un solo bug di severità “bassa” fosse solo la punta dell’iceberg. Pochi giorni dopo su Linkedin era apparso infatti questo messaggio:

Nel quale venivano raccontati ben 17 report di sicurezza inerenti a curl pervenuti nelle 24 ore successive alla pubblicazione del blog post iniziale.

E qui arriviamo all’articolo citato in apertura, che parla di pressione.

Una pressione autoimposta e dettata dalla volontà di far eccellere il proprio lavoro il quale, vale la pena ricordarlo, si stima venga usato in 30 miliardi di installazioni nel mondo.

Il problema è che cercare di competere su questo campo con le macchine è impossibile, anche se gestisci lo stesso progetto da trent’anni, ne conosci ogni collaboratore, ogni funzione, ogni riga di codice.

Semplicemente non si può.

E la pressione aumenta, così come le ore di lavoro che sottraggono tempo alla propria vita, fatta di famiglia e affetti.

La situazione viene definita “Never-before experienced“: la frequenza di report di sicurezza è aumentata di 4 o 5 volte quello che era nel 2024 e il doppio di quel che era nel 2025. Si parla di più di un report al giorno, di qualità molto più alta rispetto al passato ed un livello di dettaglio tanto lungo quanto accurato.

Si tratta di problemi veri, reali, non speculazioni. E tutti vanno analizzati, indirizzati e trasformati in soluzioni (leggi patch) che possano essere applicate quanto prima e inserite in nuove release per mantenere l’ecosistema globale sicuro.

Il progetto curl ha sempre rappresentato un esempio di efficienza gestionale, così come il Kernel Linux che citavamo in apertura, ma lo stato attuale non consente a degli esseri umani di reggere il carico servito dalle intelligenze artificiali.

Forse siamo di fronte all’inizio di una nuova era informatica.

Molte volte ci siamo chiesti cosa succederà al Kernel Linux quando Linus Torvalds deciderà di andare in pensione, ed in questo senso curl non fa molta differenza: è un progetto che regge buona parte dei workload globali gestito da una singola persona. Brillante, straordinaria nella gestione dei carichi umani, ma che paga lo scotto di non poter competere con sistemi artificiali che non conoscono la fatica, ma solo il costo dei token necessari alla generazione di bug report.

Che sia il modello open-source da cambiare?

Ho ascoltato qualche programma radiofonico nel quale si diceva che questa problematica colpisce in maniera inesorabile l’open-source, dove tutto è pubblico e chiunque può scoprire le problematiche in autonomia mediante i modelli LLM. “Con l’open-source è così, dicevano”.

Attenzione a non farsi ingannare: chi sa di open-source e sa della Linus’s law, sa anche che la trasparenza paga.

Il problema semmai è trovare a questa trasparenza una dimensione umana e gestibile che consenta a chi vi lavora da sempre di continuare ad avere una vita nonostante venga segnalato un problema al giorno. Qui le macchine non potranno mai arrivare, perché è proprio di umanità che stiamo parlando: conservare se stessi a dispetto di ciò che il mercato ti impone.

Fa bene Stenberg a dire che dovrà rallentare, e pazienza se per un certo periodo il progetto rallenterà a dare risposte. L’umanità è sopravvissuta a cose peggiori dell’AI.

Forse è proprio di questo genere di messaggi di cui abbiamo bisogno ora: restiamo umani.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , ,

7 risposte a “Se competere con i ritmi dell’AI è impossibile, rimanere umani è l’unica speranza per l’open-source”

  1. Avatar Qfwfq
    Qfwfq

    Penso sia però un problema di transizione, ora è arrivata una tecnologia che permette cose che fino a ieri erano impensabili (e che permette di scrivere programmi anche a chi, come me, non sa scrivere una riga di codice) c'è da ammazzare tutti i bachi annidati da anni nelle pieghe del codice, in futuro diventerà la modalità di validazione delle nuove versioni.

  2. Avatar rocknRol
    rocknRol

    Qui il problema non è la tecnologia AI.
    Il problema è il comportamento infantile, per nulla professionale e irrispettoso di alcuni esseri umani che non potendo "essere" vogliono "apparire".
    Sapete…fa molto figo aver inviato un report di sicurezza e spacciarsi per esperti di cybersecurity!
    Ho idea che finirà stringendo la cerchia delle persone che possono inviare i report utilizzando meccanismi di fiducia a chiave pubblica (tipo GPG), quindi se non sei accreditato dalla community come persona fidata e i report non sono digitalmente firmati verranno automaticamente cestinati.
    Questo va un po' contro la filosofia tipica dell'open source, ma sono tempi difficili…
    Scusate lo sfogo.

    PS: aggiungo che sicuramente le analisi dei report (certificati) dovranno essere fatte con l'aiuto di strumenti AI perchè umanamente non è fattibile smaltire un simile carico di lavoro. Mi sembra che sta cambiando troppo velocemente il modo di sviluppare, testare e ricercare bug… vedremo!

    Ciao

  3. Avatar far5893
    far5893

    Quando i progetti saranno passati tutti alla supervisione IA anche nuove funzionalita'/modifiche saranno preverificare dall IA quindi immettere bug facilmente scopribili dall IA sara molto piu' raro , quindi torneremo ai livelli di adesso. Secondo me e' solo una questione temporanea, si tratta solo di migliorare il workflow.

  4. Avatar Raoul Scarazzini
    Raoul Scarazzini

    @disqus_hiNakPnkDE:disqus l'unico problema è che, qualunque sia il motivo (apparire, essere utili o entrambi), queste segnalazioni sono valide. Questo significa che un maintainer, purtroppo, non può ignorarle.

  5. Avatar Raoul Scarazzini
    Raoul Scarazzini

    @disqus_bV1pe5d8eY:disqus sono assolutamente d'accordo. Ed è per questo che la posizione di Stenberg è assolutamente condivisibile: pian piano ci normalizzeremo, senza bruciarci.

  6. Kroah-Hartman: l’alleato contro il fiume di bug generati dall’AI nel Kernel Linux è Rust! – Mia mamma usa Linux!

    […] dibattito a proposito delle segnalazioni dei bug mediante AI di cui tanto abbiamo parlato negli scorsi giorni, citando la netta presa di posizione del creatore di curl Daniel Stenberg, si è inserito un altro […]

  7. Avatar rocknRol
    rocknRol

    Ma veramente pensate che un futuro in cui tutti i progetti saranno supervisionati/mantenuti/gestiti da AI senza intervento umano sia auspicabile? Le AI non sono sistemi deterministici e li stiamo vedendo scalare facendo cose che prima non erano pensabili ne predicibili. Ovvero emergono comportamenti spontanei che a volte rileviamo e a volte no o almeno non subito. Questo dovrebbe portare a pensare che concedere le chiavi di tutti i sistema abdicando ad una "reale" supervisione può essere tragicamente rischioso!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Articoli
Saturday’s Talks
The Security Corner

Categories

Articoli (70) Notizie (3433) Saturday's Talks (56) The Security Corner (15)

Tag cloud

ai (104) AlmaLinux (36) Android (36) Bug (87) Canonical (96) CentOS (49) Cloud (64) codice (37) container (53) Controversia (51) Debian (113) desktop (36) docker (66) Fedora (68) Firefox (41) GitHub (84) Google (90) IBM (58) Intel (58) KDE (45) Kernel (292) Kubernetes (103) Linux (840) LTS (37) Malware (72) Microsoft (204) MicrosoftLovesLinux (37) Mozilla (42) open-source (485) Openstack (58) Oracle (37) Patch (37) Red Hat (181) Release (71) RHEL (44) Rust (46) SaturdaysTalks (54) Sicurezza (146) Software (45) SUSE (44) systemd (83) Torvalds (103) Ubuntu (196) Vulnerabilità (72) Windows (90)