Ultimamente sul portale non abbiamo toccato direttamente l’argomento intelligenza artificiale in articoli specifici, ed è strano perché in fondo è stato il tema dominante da almeno un paio d’anni a questa parte, ma questo non significa che il mondo nel frattempo si sia fermato, in particolare la convivenza e l’adattamento dell’ecosistema open-source nei confronti dell’intelligenza artificiale.

Da un lato gli strumenti di IA promettono di rivoluzionare la scoperta e la correzione di vulnerabilità (ricorderete le recenti mosse del progetto curl nei confronti delle segnalazioni di bug mediante AI), dall’altro sollevano questioni cruciali sulla qualità del codice, sulla sostenibilità dei progetti e sulla responsabilità dei contributori (vedi la posizione di Torvalds e del Kernel Linux).

Il primo segnale recente e significativo arriva dalla Linux Foundation con il lancio di Akrites. Questa iniziativa nasce in risposta a un problema concreto: l’uso massiccio di strumenti di IA per la scansione del codice sta generando un numero senza precedenti di segnalazioni di vulnerabilità. Questo “tsunami” di report, spesso duplicati, incompleti o di bassa qualità, rischia di sopraffare i maintainer, che sono spesso volontari con risorse limitate.

Akrites si propone come un layer di coordinamento affidabile, istituendo un Security Incident Response Team (SIRT) condiviso e un processo standardizzato di Coordinated Vulnerability Disclosure (CVD). L’obiettivo è gestire in modo centralizzato e riservato i report, validarli, eliminarne i duplicati e facilitare lo sviluppo di patch upstream, prima che le vulnerabilità vengano rese pubbliche e potenzialmente sfruttate.

L’iniziativa, sostenuta da giganti del calibro di AWS, Anthropic, Google, Microsoft/GitHub, NVIDIA e OpenAI, rappresenta un riconoscimento collettivo che la scoperta delle vulnerabilità non è più il collo di bottiglia; il vero problema è la capacità di risposta e la coordinazione. Akrites mira a colmare questo gap, arrivando persino a fungere da “maintainer di ultima istanza” per progetti critici e abbandonati.

Si capisce quindi come Akrites si concentri sulla risposta alle vulnerabilità, mentre la Software Freedom Conservancy ha scelto invece di definire le regole del gioco a monte, pubblicando le “Recommendations When Using LLM-backed Generative AI Systems for FOSS Contributions“.

Le raccomandazioni della SFC partono da un principio fondamentale: la responsabilità umana resta imprescindibile. Il documento sottolinea che i contributori che utilizzano l’AI devono revisionare e comprendere pienamente il codice generato prima di sottoporlo, e devono essere pronti a difenderlo come se lo avessero scritto personalmente. Non si tratta di bandire l’AI, ma di introdurre trasparenza, richiedendo la divulgazione dell’uso dell’AI nei commit log.

Le linee guida della SFC sono un promemoria potente: i maintainer hanno tutto il diritto di respingere contributi generati dall’AI che non siano stati adeguatamente verificati. L’obiettivo è proteggere i processi di review e la qualità complessiva del software, evitando che i maintainer si trasformino in “debugger” di codice prodotto in modo automatico.

E le distribuzioni? Bene, le discussioni teoriche trovano applicazione pratica in iniziative come quella del progetto FreeBSD il quale, supportato da un finanziamento di $250.000 da parte di Alpha-Omega, ha avviato un’iniziativa di sei mesi per l’“AI-assisted Vulnerability Discovery Project”.

L’obiettivo è ridurre il numero di vulnerabilità sfruttabili nel codice di FreeBSD. L’AI verrà utilizzata per la scoperta e l’analisi delle vulnerabilità, ma le patch saranno create manualmente dai membri del team di sicurezza. In questo modo, si sfrutta la potenza dell’AI per la scansione su larga scala, mantenendo però il controllo umano sulla fase più delicata della correzione. Il progetto si concentrerà inizialmente sul kernel, per poi estendersi al resto del sistema.

Sempre in tema distribuzioni, Canonical introdurrà in Ubuntu 26.10 la versione iniziale di Myna, uno strumento di dettatura vocale per desktop GNOME su Wayland. Il funzionamento è semplice: si tiene premuto un tasto di scelta rapida, si parla e si rilascia. Un indicatore segnala che il microfono è attivo e il testo trascritto appare dove si trovava il cursore.

Interessante notare come la trascrizione avvenga localmente, senza bisogno di connessione internet, grazie a un componente in sandbox chiamato Canonical Inference Snap. Un Speech Orchestrator gestisce la sessione, mentre un Audio Adapter si occupa di rimuovere il rumore prima dell’elaborazione. L’audio viene conservato solo in un buffer di memoria temporaneo e scartato al termine della sessione.

Al momento Myna non supporterà dettatura nei campi password, parole di sveglia, ascolto continuo, comandi vocali, traduzione, identificazione dei parlanti né rilevamento automatico della lingua.

Canonical è aperta a feedback, in particolare da parte di utenti che già utilizzano strumenti di dettatura o assistivi su Linux, prima di finalizzare le specifiche dello strumento.

Queste iniziative, globali del movimento e locali nelle distribuzioni, dipingono un quadro di un ecosistema open-source che cerca di adattarsi in modo proattivo all’era dell’AI. Da un lato, abbiamo la necessità di coordinamento e di infrastrutture di risposta (Akrites) per gestire il volume crescente di segnalazioni. Dall’altro, la necessità di stabilire norme culturali e processi (SFC) che preservino i valori fondamentali dell’open-source: la responsabilità umana, la trasparenza e il merito. Infine, vediamo l’adozione pratica di queste tecnologie (FreeBSD e Ubuntu), con un approccio pragmatico che combina l’efficienza dell’AI con la saggezza e la competenza umana.

La sfida per il futuro sarà trovare un equilibrio: sfruttare la potenza dell’AI per rendere il software più sicuro, senza tradire i principi di comunità, fiducia e sostenibilità che sono il cuore dell’open-source.

La buona notizia è che, verrebbe da dire finalmente, l’hype verso l’intelligenza artificiale sembra attenuato in virtù di un utilizzo più coerente e sensato.

Come finirà? È tutto da capire, ma è bello sapere che l’approccio open-source è e rimane parte fondamentale di questo percorso.