"Reine Zeitverschwendung": Torvalds warnt vor KI-Bug-Reports

Linus Torvalds und Dirk Hohndel beim Open Source Summit Japan. Quelle: The Linux Foundation

Linus Torvalds und Dirk Hohndel beim Open Source Summit Japan. Quelle: The Linux Foundation

Kernel-Chefentwickler Linus Torvalds bittet, die private Security-Mailingliste nicht mehr unnötig mit KI-generierten Reports zu überfluten.

Eine neue Woche, ein neuer Release Candidate für Linux Kernel 7.1. Der Fortschritt in der Entwicklung verlaufe “relativ normal”, schrieb Chefentwickler Linus Torvalds am 17. Mai in der Ankündigung des Release Candidates Linux 7.1-rc4, es sei jedoch wichtig, ein Thema anzusprechen: die Flut an KI-generierten Bug Reports.

Die private Mailingliste security@kernel.org erhält derzeit eine überwältigende Anzahl an von KI-Tools generierten Bug Reports. Oft handelt es sich dabei um die gleichen Bugs, die unterschiedliche Nutzer mit den gleichen Tools gefunden haben und unkommentiert an die Mailingliste weiterleiten. Die Liste sei durch diese massiven Dopplungen “fast völlig unüberschaubar” und bringe enormen zusätzlichen Mehraufwand mit sich, den Torvalds als eine “Zeitverschwendung für alle Beteiligten” bezeichnet.

Die Security-Mailingliste dient dazu, noch nicht bekannte sicherheitskritische Bugs zu melden, damit sie vor dem nächsten Release Candidate behoben werden. Sie ist nicht öffentlich einsehbar, damit die gefundenen Sicherheitslücken nicht ausgenutzt werden. Das heißt aber auch, dass jemand, der einen Bug Report einreicht, nicht prüfen kann, ob jemand anderes bereits die Schwachstelle gefunden hat. Von KI-Tools gefundene Bugs sind schlicht und einfach nicht der Zweck der privaten Mailingliste: sie seien, so Torvalds, “per Definition nicht geheim” und sie an die private Liste zu schicken, sei sinnlose Scheinarbeit. Torvalds macht ganz deutlich: Wer einen Bug mit KI findet, sollte davon ausgehen, dass jemand anderes ihn auch schon mit dem gleichen Tool gefunden hat.

Wer KI nutzt, soll auch eigene Arbeit beitragen

Torvalds betont, dass KI-Tools ihren Nutzen haben, jedoch sollte der Einsatz produktiv sein und mit eigener Arbeit verbunden werden. Einen Bug mit KI zu finden ist an sich noch keine eigene Leistung; statt einen unkommentierten Bug Report zu schicken, rät Torvalds, stattdessen die Dokumentation durchzulesen und einen Patch zu erstellen. Erst dadurch entsteht ein zusätzlicher Mehrwert zur Leistung der KI.

Linus Torvalds’ Kritik an unreflektierter KI-Nutzung ist auch in der aktuellen Kernel-Dokumentation reflektiert. Der Abschnitt “What qualifies as a security bug” beschreibt, welche Bugs als sicherheitskritisch betrachtet werden müssen und damit an die private Mailingliste zu melden sind. Hier sagt die Dokumentation ganz klar: “If you resorted to AI assistance to identify a bug, you must treat it as public.” Die Kernel-Entwicklung verfolgt hier eine konsequente Strategie im Umgang mit KI-Tools: Sie existieren, sie können nicht verboten werden, sind aber nur unter strengen Regeln einzusetzen. So beschreibt der Abschnitt der Kernel-Doku zu “AI Coding Assistants” eine genaue Anleitung zu KI-generiertem Code: Der menschliche Coder übernimmt volle Verantwortung zu jeder Codezeile, verpflichtet sich, den kompletten Code eigens zu prüfen und korrekt zu attribuieren.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben