Nel rilasciare la nuova Release Candidate Linux 7.1-rc4, Linus Torvalds si è trovato praticamente obbligato a fare alcune importanti precisazioni a proposito delle segnalazioni di sicurezza che avvengono per il progetto Kernel.

Il creatore di Linux è da sempre un sostenitore dell’uso dell’AI per quello che è, ossia uno strumento, ma non tutti evidentemente la pensano come lui e nell’annuncio ha dovuto sottolineare cose che sulla carta sembrerebbero ovvie.

La notizia non è certamente sorprendente, ma va a braccetto con quanto raccontavamo qualche giorno fa a proposito dell’uso sensato dell’AI e di quanto ormai sia imprescindibile impostare automatismi che la coinvolgano nei controlli di sicurezza: la sostanza di quanto stiamo per scrivere è che l’equilibrio dovrebbe sempre governare le scelte che vengono fatte, ma ovviamente le cose sono più complicate di così.

La questione parte, come racconta Phoronix, dalla definizione delle specifiche precise che il progetto Linux ha pubblicato a proposito di cosa qualifica un problema come “Security Bug” e dell’uso responsabile dell’AI, la cui parte clou è la seguente:

It turns out that the majority of the bugs reported via the security team are just regular bugs that have been improperly qualified as security bugs due to a lack of awareness of the Linux kernel’s threat model, as described in Documentation/process/threat-model.rst, and ought to have been sent through the normal channels described in Documentation/admin-guide/reporting-issues.rst instead.

Salta fuori che la maggior parte dei bug segnalati tramite il team di sicurezza sono semplicemente bug normali, qualificati erroneamente come bug di sicurezza a causa della mancanza di consapevolezza del modello di minaccia del kernel Linux, come descritto in Documentation/process/threat-model.rst, e che avrebbero dovuto essere inviati attraverso i canali normali descritti in Documentation/admin-guide/reporting-issues.rst.

Questo approccio anomalo è rilevato e confermato da Torvalds, il quale, nel messaggio del rilascio, invita a dare un occhio all’aggiornamento della documentazione:

Some of the documentation updates might be worth highlighting: continued flood of AI reports has basically made the security list almost entirely unmanageable, with enormous duplication due to different people finding the same things with the same tools. People spend all their time just forwarding things to the right people or saying “that was already fixed a week/month ago” and pointing to the public discussion.

Alcuni aggiornamenti della documentazione potrebbero meritare di essere evidenziati: il continuo diluvio di report generati dall’IA ha reso la lista di sicurezza praticamente ingestibile, con un’enorme duplicazione dovuta al fatto che persone diverse trovano le stesse cose con gli stessi strumenti. Le persone passano tutto il loro tempo semplicemente a inoltrare le segnalazioni alle persone giuste o a dire “questo è già stato risolto una settimana/un mese fa” e a indicare la discussione pubblica.

Il problema è la segretezza che molte volte viene utilizzata per queste segnalazioni le quali, dimostra il fatto che sono rilevate contestualmente da più persone, non sono segrete per nulla, e quindi non hanno ragione di essere discusse in privato o su canali riservati, che creano ridondanza e fanno perdere un sacco di tempo ai responsabili effettivi.

Sottolineando poi ulteriormente il suo punto di vista sull’AI come strumento, Torvalds ha aggiunto:

AI tools are great, but only if they actually help, rather than cause unnecessary pain and pointless make-believe work. Feel free to use them, but use them in a way that is productive and makes for a better experience.

Gli strumenti di IA sono fantastici, ma solo se effettivamente aiutano, invece di causare sofferenze inutili e lavoro fittizio senza senso. Sentitevi liberi di usarli, ma usateli in modo produttivo e che migliori l’esperienza per tutti.

Un ragionamento di buonsenso che potrebbe essere applicato in toto a qualsiasi ambito AI, non solo al Kernel.

Ma ci vorrebbe l’equilibrio di cui sopra, questo sconosciuto.