Linus Torvalds: „Sinnloses Hin und Her“ um per KI gefundene Lücken

In seinem wöchentlichen Update zur Kernel-Entwicklung von Linux hat Linus Torvalds diesmal auch die Flut an per KI-Tools gefundenen Sicherheitslücken kommentiert. Der sich nach eigener Beschreibung oft „unverblümt“ äußernde Erfinder von Linux bemängelt nicht, dass aktuell so viele Lücken gefunden werden. Er hält aber den Umgang mit den Funden, und wie sie veröffentlicht werden, für problematisch.

Zum einen gäbe es zahlreiche Dubletten, was in der Natur der Sache liegt: Wenn mit einem KI-Tool jemand eine Lücke findet, kann das auch jemand anderes tun. Solche Funde seien „per definitionem kein Geheimnis“, schreibt Torvalds. Deshalb solle man sie nicht sofort an die zuständigen Personen in der Community weiterleiten, sondern erst nachsehen, ob die Lücke vielleicht nicht schon geschlossen sei. Die Security-Mailingliste sei durch die vielen Doppelungen und Diskussionen darüber „fast völlig unbewältigbar“.

„Macht mehr als die KI!“

Noch schlimmer sei die Behandlung der Lücken auf privaten Listen. Das ergebe nur ein „sinnloses Hin und Her“ – eben weil das frühere Geheimnis durch die Existenz eines KI-Tools, das es finden kann, keines mehr ist. Man solle nicht mehr sinnlose Reports einreichen, sondern lieber gleich einen Patch für die gefundene Lücke, meint Torvalds. „KI-Tools sind toll“, schreibt der Entwickler. Aber wenn man sie verwende, müsse man mehr tun, als nur das alleine. Man müsse „einen echten Mehrwert beitragen, zusätzlich zu dem, was die KI gemacht hat“, fordert Torvalds.

(nie)