Le segnalazioni di bug generate dall’intelligenza artificiale sono diventate un problema serio per chi sviluppa il kernel Linux, e Linus Torvalds non ha nascosto la propria frustrazione. Tutto è cominciato durante il ciclo delle release candidate di Linux 7.0, quando il numero di report è cresciuto in modo anomalo. I bug segnalati, però, erano per lo più di scarsa rilevanza, nulla che giustificasse un rinvio del rilascio. Torvalds aveva già sospettato che dietro quell’impennata ci fossero persone che usavano strumenti di IA per scansionare il codice alla ricerca di problemi. E, come si è poi confermato, aveva ragione.
Ora la situazione si è ulteriormente complicata. Con la pubblicazione della quarta release candidate di Linux 7.1, Torvalds ha scritto una newsletter in cui affronta di petto la questione. Il problema non è tanto che l’intelligenza artificiale trovi dei bug, quanto il modo in cui questi vengono segnalati. Diverse persone lanciano i propri assistenti AI sul codice, raccolgono i risultati e li inviano alla lista di sicurezza del progetto Linux. Questa lista è privata, pensata esclusivamente per vulnerabilità gravi che potrebbero causare danni enormi se diventassero di dominio pubblico.
Linux: report duplicati e una lista di sicurezza fuori controllo
Il guaio è duplice. Da un lato, i bug trovati dall’IA non sono affatto di quelli che mettono a rischio il sistema. Dall’altro, il fatto che vengano segnalati su un canale privato fa sì che nessun altro sappia che quel problema è già stato individuato. Il risultato è una marea di report duplicati. Più assistenti AI scovano lo stesso identico bug, e ciascuno lo invia separatamente senza avere visibilità sulle segnalazioni altrui.
Torvalds lo ha descritto con parole piuttosto chiare: il continuo flusso di report generati dall’IA ha reso la lista di sicurezza praticamente ingestibile. C’è un’enorme duplicazione perché persone diverse trovano le stesse cose con gli stessi strumenti. I maintainer finiscono per passare tutto il tempo a smistare le segnalazioni verso le persone giuste, oppure a rispondere che il problema era già stato risolto settimane o mesi prima, rimandando alla discussione pubblica. Il tutto, ha aggiunto, è lavoro completamente inutile. Ha poi chiarito che i bug individuati dall’intelligenza artificiale non sono, per definizione, segreti, e trattarli su una lista privata è solo uno spreco di tempo che peggiora il problema della duplicazione.
La soluzione secondo Torvalds: usare l’IA con intelligenza
C’è un punto importante: Torvalds non vuole scoraggiare l’uso dell’intelligenza artificiale nello sviluppo del kernel Linux. Quello che chiede è un approccio più responsabile. Se un tool di IA trova un bug, ci sono ottime probabilità che qualcun altro lo abbia già trovato con lo stesso identico strumento. Quindi inviare semplicemente la segnalazione senza fare altro non è particolarmente utile.
Il suggerimento di Torvalds è piuttosto diretto: chi trova un bug grazie all’IA dovrebbe rimboccarsi le maniche e provare a scrivere una patch, invece di limitarsi a report “mordi e fuggi”. Ovviamente, se poi si usa l’intelligenza artificiale anche per generare la correzione, non si può semplicemente scaricare la responsabilità sull’agente automatico nel caso qualcosa vada storto.
La questione solleva un tema che sta diventando sempre più rilevante nel mondo dell’open source: gli strumenti di IA possono accelerare enormemente il lavoro di revisione del codice, ma senza un uso ragionato rischiano di creare più problemi di quanti ne risolvano. Per il momento, il team di Linux 7.1 continua a gestire il ciclo delle release candidate con un carico di lavoro decisamente superiore al normale.
