Linus Torvalds memperingatkan bahwa laporan bug yang dihasilkan oleh AI telah membanjiri daftar surat keamanan Linux dengan duplikasi dan informasi yang tidak berguna.
Torvalds meminta para peneliti untuk memberikan nilai tambah yang nyata dengan membuat patch alih-alih mengirimkan temuan otomatis yang acak. Kekhawatiran serupa juga telah mendorong proyek-proyek seperti curl dan Tim Bug Bounty Internet dari HackerOne untuk menghentikan atau membatasi program bounty bug mereka.
Menurut Torvalds, daftar surat keamanan Linux kini “hampir tidak bisa diatur” sama sekali, sejak para peneliti mulai memanfaatkan Kecerdasan Buatan (AI) untuk membanjiri daftar dengan laporan yang tidak berguna. Dalam pembaruan mingguan tentang status kernel terbaru, di mana ia membahas hal-hal seperti driver, jaringan, dan inti kernel, Torvalds menekankan bahwa “beberapa pembaruan dokumentasi mungkin layak untuk disorot.”
“Arus laporan AI yang terus menerus telah praktis membuat daftar keamanan menjadi hampir tidak dapat dikelola, dengan duplikasi yang sangat besar karena orang-orang yang berbeda menemukan hal yang sama dengan alat yang sama,” ungkapnya. “Orang-orang menghabiskan waktu mereka hanya untuk meneruskan laporan ke pihak yang tepat atau mengatakan ‘itu sudah diperbaiki minggu lalu/bulan lalu’ dan menunjuk pada diskusi publik.”
Duplikasi yang Tidak Berguna
Torvalds menegaskan bahwa laporan-laporan ini adalah “duplikasi yang sama sekali tidak berguna,” karena sebagian besar bug yang terdeteksi oleh alat AI “bahkan tidak rahasia,” dan melaporkan hal tersebut “hanya membuat duplikasi semakin parah.”
Selain keluhan tersebut, Torvalds juga memberikan beberapa petunjuk konkret, mengarahkan peneliti untuk menggunakan AI “dengan cara yang produktif dan memberikan pengalaman yang lebih baik,” sebagai contoh:
“Dokumentasi mungkin tidak sepedas saya, tetapi itu adalah intinya,” pungkasnya. “Jika kamu benar-benar ingin memberikan nilai tambah, bacalah dokumentasi, buat juga patch, dan tambahkan nilai nyata di *atas* apa yang sudah dilakukan AI. Jangan jadi orang yang asal mengirim laporan acak tanpa pemahaman yang sebenarnya.”
Torvalds bukanlah satu-satunya yang menunjukkan masalah ini. Di akhir Januari tahun ini, para pengembang curl, alat baris perintah sumber terbuka, mengumumkan bahwa mereka akan menghentikan program bug bounty HackerOne mereka karena alasan yang sama.
Belakangan, HackerOne juga melaporkan bahwa Tim Bug Bounty Internet yang mereka kelola tidak lagi memberi imbalan kepada peneliti yang menemukan bug. Hal ini menunjukkan betapa pentingnya untuk memberikan kontribusi yang berarti, terutama di dunia yang semakin dipenuhi dengan laporan berlebihan yang tidak menambah nilai pada proses perbaikan perangkat lunak.
