Phi Vũ
New member
Linus Torvalds cảnh báo danh sách thư điện tử bảo mật của Linux đang trở nên gần như không thể quản lý vì dòng báo cáo tràn ngập do công cụ AI tạo ra. Các báo cáo lặp lại, không có giá trị thực tế đang khiến thời gian của người duy trì dự án bị lãng phí.
Người quản lý chính của nhân kernel, Linus Torvalds, nói rằng danh sách thư điện tử về bảo mật của Linux giờ đây "gần như hoàn toàn không thể quản lý" sau khi nhiều nhà nghiên cứu bắt đầu dùng trí tuệ nhân tạo (AI) để gửi hàng loạt báo cáo vô dụng.
Torvalds cho biết nguyên nhân là rất nhiều người dùng cùng một công cụ AI phát hiện cùng một thứ và gửi lại kết quả giống nhau, dẫn đến trùng lặp rất lớn. Thay vì phân tích, tập trung sửa lỗi, các duy trì viên phải dành thời gian chuyển tiếp báo cáo tới người phù hợp hoặc nhắc rằng "vấn đề này đã được sửa tuần/tháng trước" và trỏ tới các thảo luận công khai.
Ông mô tả các báo cáo này là "hoạt động sinh ra khối lượng công việc vô nghĩa", bởi hầu hết lỗ hổng mà công cụ AI phát hiện "về cơ bản không phải là bí mật", và việc gửi báo cáo như vậy chỉ làm tăng sự trùng lặp.
Vấn đề không chỉ xuất hiện với Linux. Cuối tháng 1 năm nay, nhóm phát triển curl cũng từng thông báo ngừng chương trình thưởng lỗi HackerOne vì nguyên nhân tương tự: lượng báo cáo không chất lượng tăng mạnh. HackerOne cũng cho biết nhóm Internet Bug Bounty mà họ quản lý sẽ không tiếp tục thưởng cho những báo cáo kiểu này.
Torvalds và các duy trì viên khác kêu gọi cộng đồng nghiên cứu bảo mật sử dụng AI một cách có trách nhiệm: dùng nó để tăng hiệu quả chứ không phải tạo thêm công việc tốn thời gian, và luôn cố gắng bổ sung giá trị thực tế khi nộp báo cáo.
Nguồn: Techradar
Người quản lý chính của nhân kernel, Linus Torvalds, nói rằng danh sách thư điện tử về bảo mật của Linux giờ đây "gần như hoàn toàn không thể quản lý" sau khi nhiều nhà nghiên cứu bắt đầu dùng trí tuệ nhân tạo (AI) để gửi hàng loạt báo cáo vô dụng.
Torvalds cho biết nguyên nhân là rất nhiều người dùng cùng một công cụ AI phát hiện cùng một thứ và gửi lại kết quả giống nhau, dẫn đến trùng lặp rất lớn. Thay vì phân tích, tập trung sửa lỗi, các duy trì viên phải dành thời gian chuyển tiếp báo cáo tới người phù hợp hoặc nhắc rằng "vấn đề này đã được sửa tuần/tháng trước" và trỏ tới các thảo luận công khai.
Ông mô tả các báo cáo này là "hoạt động sinh ra khối lượng công việc vô nghĩa", bởi hầu hết lỗ hổng mà công cụ AI phát hiện "về cơ bản không phải là bí mật", và việc gửi báo cáo như vậy chỉ làm tăng sự trùng lặp.
Gợi ý của Torvalds cho nhà nghiên cứu
- Đọc tài liệu trước khi gửi báo cáo để hiểu bối cảnh và mức độ nghiêm trọng.
- Nếu có thể, tạo luôn một bản vá (patch) thay vì chỉ gửi báo cáo thô.
- Đặt giá trị thực tế lên trên kết quả do AI tạo — bổ sung phân tích hoặc kiểm thử để giúp duy trì viên.
- Tránh kiểu đóng góp thoáng qua: "gửi một báo cáo ngẫu nhiên mà không hiểu rõ".
Vấn đề không chỉ xuất hiện với Linux. Cuối tháng 1 năm nay, nhóm phát triển curl cũng từng thông báo ngừng chương trình thưởng lỗi HackerOne vì nguyên nhân tương tự: lượng báo cáo không chất lượng tăng mạnh. HackerOne cũng cho biết nhóm Internet Bug Bounty mà họ quản lý sẽ không tiếp tục thưởng cho những báo cáo kiểu này.
Torvalds và các duy trì viên khác kêu gọi cộng đồng nghiên cứu bảo mật sử dụng AI một cách có trách nhiệm: dùng nó để tăng hiệu quả chứ không phải tạo thêm công việc tốn thời gian, và luôn cố gắng bổ sung giá trị thực tế khi nộp báo cáo.
Nguồn: Techradar
Bài viết liên quan
