O fundador do Linux, Linus Torvalds, afirmou em sua última mensagem sobre o status do kernel que “o fluxo constante de relatórios de bugs gerados por IA tornou a lista de vulnerabilidades de segurança praticamente incontrolável, com duplicação massiva devido a diferentes pessoas encontrarem os mesmos problemas usando as mesmas ferramentas”.
Fonte da imagem: xAI
Segundo Torvalds, “é cristalino: se você encontrar um bug usando ferramentas de IA, há uma grande chance de que outra pessoa também o tenha encontrado”. Ele chamou os relatórios de bugs duplicados de “uma tarefa completamente inútil”. Torvalds enfatizou que os bugs descobertos por IA não são, por definição, secretos, e processá-los em alguma lista fechada é uma perda de tempo para todos os envolvidos. Além disso, isso só agrava a duplicação, porque os autores dos relatórios de vulnerabilidade não veem os relatórios de outros pesquisadores.
“Ferramentas de IA são ótimas, mas apenas se realmente ajudarem, e não causarem sofrimento desnecessário ou criarem trabalho fictício sem sentido. Você pode usá-las, mas use-as de forma produtiva e para melhorar a experiência do usuário”, continuou Torvalds. “Se você realmente quer agregar valor, leia a documentação, crie uma correção e adicione valor real ao que a IA fez.” Não seja aquela pessoa que simplesmente envia um relatório aleatório sem qualquer informação relevante.”
Jarom Brown, Engenheiro Sênior de Segurança de Produtos do GitHub, respondeu de forma semelhante à recente onda de relatórios de bugs relacionados à IA, afirmando que, embora o GitHub “não tenha problemas” com ferramentas de IA em geral, os relatórios de bugs gerados por IA precisam ser verificados para serem úteis. “Um relatório de bug gerado por IA que foi verificado, reproduzido e enviado com uma prova de conceito funcional é uma ótima contribuição. Um resultado não verificado, enviado sem reprodução ou demonstração, é uma excelente contribuição.”Não há impacto”, observou ele.
Brown recomendou priorizar a profundidade da pesquisa em vez da quantidade de bugs encontrados. Ele acredita que um relatório bem pesquisado e verificado vale mais do que dez palpites — tanto em termos de recompensas quanto de reputação. Ele também observou que as pessoas que mais ganham com o programa de recompensas por bugs do GitHub são aquelas que se aprofundam no problema e o investigam minuciosamente.