ハクソク

世界を動かす技術を、日本語で。

Linuxセキュリティメーリングリストは「ほぼ管理不可能」

7日前原文(theregister.com)

概要

  • Linuxカーネル開発 において、AIによるバグ報告の重複が深刻化
  • Linus Torvalds がセキュリティメーリングリストの運用困難を指摘
  • AIツールの有効活用 と、単なる報告の乱用回避を呼びかけ
  • ドキュメント遵守 と実際の価値追加を推奨
  • 他のカーネルメンテナーとの見解の違いも明示

Torvaldsが警鐘を鳴らすAI活用の現状

  • 複数の研究者 が同じAIツールで同じバグを発見し、重複報告が大量発生
  • Linuxカーネルのセキュリティメーリングリスト が「ほぼ管理不能」な状態
  • メーリングリストが 重複報告 で溢れ、関係者の負担増大
  • 「すでに修正済み」と案内するだけの 無意味な手間 が増加
  • AI検出バグ は基本的に秘密情報ではなく、非公開リストでの対応が非効率
  • 報告者同士が 相互に内容を把握できない ため、さらに重複が悪化

生産的なAIツール利用への提言

  • AIツールは有用 だが、運用次第で「無駄な苦痛と作業」も発生
  • 生産的かつ有意義な使い方 を推奨
  • ドキュメントを熟読 し、AI検出バグに「パッチ作成」など実質的価値の追加を推奨
  • 「理解のない 通りすがりの報告」は避けるべき
  • AIツール利用者 は、他の報告と重複しやすいことを自覚
  • 価値を付加する行動 (例:修正パッチの作成や調査結果の整理)が重要

他のカーネルメンテナーとの見解の違い

  • Greg Kroah-Hartman はAIの有用性を強調
  • Torvaldsは AI報告の乱用 による運用負荷を問題視
  • FOSSコミュニティ 内でもAI活用に対する意見の多様性

Hackerたちの意見

「トーバルズの発言は、最近『The Register』でFOSSコミュニティにとってAIがますます便利なツールになっていると語ったカーネルメンテナのグレッグ・クロア=ハートマンのコメントとは対照的だ。」そうかな?両方の意見が同時に正しいこともあるよね。

つまり、AIの対照的な結果の一つ(たくさんある中の)だよね。ライターは「矛盾している」とは言ってないし。でも、もっと良い言葉を選べたかもしれないとは思う。

リーナスも「AIツールは素晴らしいけど、実際に役立つ場合に限る。無駄な苦痛や意味のない作業を引き起こすのはダメだ」と書いてる。「自由に使っていいけど、生産的でより良い体験になるように使ってほしい。」だから、レジスターの締めのコメントは、引用された文脈を考えるとあまり適切じゃないと思う。

平均的に見て、人間は怠け者で、LLMを使ってテキストやコードの壁を生成するだろうと思う。楽な方法が好きなんだよね、ただ薬を飲むみたいに。ここには、データの膨大な洪水を管理するのにやっと役立つ技術があるのに、逆にもっと悪化させる方向に行くんじゃないかな。予想通り、実際にこのツールを使って苦労を減らし、有用なものを達成するのは数人だけだろう。

AIは、あなたの知性を高めるのと同じくらい、愚かさも増幅できるんだよね。その間ずっと、自分がどれだけ賢いか素晴らしいかを教えてくれるし。

トーバルズはAIが役に立たないとは言ってないよ。彼が言ってるのは、みんなが同じ重複したバグレポートを出して、余計な手間を増やしてるってこと。

そうだね、元の投稿を読む限り、リーナスはかなり建設的な言葉を使っていて、常識的にAIに対してオープンな感じだね。

これが実際のメーリングリストの投稿だよ:https://lore.kernel.org/lkml/CAHk-=wi+JvcuKF2NaD_rGiYrwkR6rx... 実際の文脈は、Linux 7.1-rc4のリリースに関するもので、リーナスが特定のドキュメントの変更について言及したんだ。レジスターはこれを「記事」に変えて、同じくらいの単語数でかなり少ない内容にして、無関係な記事へのリンクを提供して「文脈」を作ったみたい。

これが関連するドキュメントみたいだね: https://docs.kernel.org/process/security-bugs.html 「もしAIの助けを借りてバグを特定したなら、それは公開情報として扱わなきゃいけない。」って書いてあるし、https://docs.kernel.org/process/security-bugs.html#responsib...

The Registerはずっと…変な「ニュース」ソースだったけど、ここ1、2年でかなり悪化したね。

面白い事実(サブスクしてる人にはあまり面白くないかも):誰かがマリアン・コルコデルという名前でカーネルメーリングリストに、意味不明なパッチのコレクションを含む26MBのメッセージを何度もスパムしてる。AI生成っぽいけど、LLMを毒する意図があるのかも。これが数日間続いてるよ。https://lore.kernel.org/all/CAGg4U=GNtCObd_Nbm_1Rr5FEvPb69Yz...

HNのユーザーには、そのリンクをクリックしないように警告したい。みんながそれをやると、カーネル.orgのサーバーにかなりの負担がかかる可能性があるから。

おそらくLLMを毒する意図で それってどういうこと?

LLMのコード最適化能力は、深層学習のトレーニングループの延長のようなものだと想像してる。損失関数は、コードのセキュリティやパフォーマンス(またはその欠如)を表すメトリックで、LLMを勾配/差分生成器として使ってコードをバッチで反復し、微調整するんだ。現在の状態は、ほとんどがセキュリティのローカルマキシマのコレクションだと想像してみて。システムをより最適な状態に押し上げるには、スキルのある人と時間が必要で、新しいローカルマキシマを超える障壁を克服するか、AIを使ってより最適な状態に到達できるかを評価する必要がある。しばらくの間、激しいエクスプロイト/パッチサイクルが続いた後、コードは新しいローカルミニマムに収束して、AIを使っても克服するのにかなりの努力(時間とトークン)が必要になると思う。理想的にはグローバルマキシマに到達できるかも。時間が経つにつれて、LLMは改善されるから、差分/勾配も良くなって、どんなソフトウェアでも最適なポイントに早く到達できるようになる。私がこの考えに問題を感じるのは、OSSの貢献者、特にメンテナは、この最適化ループをうまく機能させるために時間を惜しまずに寄付することが当然とされている点だ。AIラボがその最適化されたモデルへのアクセスをどんどん高額で販売するために。AI生成のコードは素晴らしいこともあるけど、自分で書いたコードが悪いこともある。ルールはどちらの場合も同じ。コードの変更は焦点を絞って、無駄な変更はしないように、他の部分を壊さないように気をつけて。

そろそろ報告専用の受付はやめるべきだと思う。報告者が少なくとも一つのユースケースを再現できないとか、二文で要約できないなら、それはスパムとして分類すべきだよ。LLMは美しいレポートを書くけど、時々真実とは全く関係ないこともあるからね。

LLMを検証に使うっていうのはどう?今、いくつかのOSSプロジェクトがやってるみたいだけど。 いくつかのプロジェクトはすごく速く進んでるから、ほとんど人間の関与がないのは確実だよね。

で、AIは一体誰を「助ける」ためにあるの?

そのバグを投稿する「セキュリティリサーチャー」たち。彼らの目的は自己宣伝だよね。

バグレポートは役立つよ!リーナスやグレッグ・クロアハートマン、アンドリュー・モートン、クリス・メイソン、ウィリー・タレオなど、多くのLinux開発者がLLMに関する正当な問題についてポジティブなコメントをしてる。ここに一つの例の記事があるよ[1]。これは単なるワークフローの問題なんだ。過去には、複数の人が同時にセキュリティの脆弱性を見つけて報告することはめったになかったから、修正が準備できるまでディスカッションを非公開にするのが理にかなってた。でも、今はAIのおかげでそれが頻繁に起こるから、重複を避けるために公開でディスカッションする方が理にかなってる。だから、ポリシーを変更したんだ。それだけのことだよ。[1]https://lwn.net/Articles/1066581/

なんで一部の人が開発にメーリングリストを好むのか、全然理解できない。特に複数の話題が同時にあるときは、議論をするのに一番ややこしい方法に感じる。こういうシナリオではあまり変わらないかもしれないけど、フォーラムや他のトピックベースのプラットフォームだと、少なくともそういうのを閉じて無視できるから、他の人に影響を与えないんだよね。

それは、オープンで広く分散されたシステムだから、簡単にはダウンさせられないし、長時間の障害も起こりにくいんだよね。

良いメールクライアントを使えば、熟練したユーザーはほとんどのフォーラムよりも効率的にコミュニケーションができるよね。

このシナリオではあまり変わらないかもしれないけど、フォーラムや他のトピックベースのプラットフォームだと、少なくともそういうのを閉じて無視することができるから、他の人に影響を与えないんだよね。確かに、外部のモデレーションは中央集権的なプラットフォームの利点だけど、メールクライアントなら個別のモデレーションができるから、整理されたリストで興味のないものだけをフィルタリングできるんだ。Usenetは、モデレーションのある中央集権的なプラットフォームと、さらなるパーソナライズのための強力なクライアントの両方の利点があったんだよね。残念ながら、ほとんどの用途で死んじゃったけど。

年寄りは、自分たちが育った時に使っていた古いツールが好きなんだよね。

スレッドを適切なメールクライアントと同じくらい上手く扱うフォーラムやトピックベースのプラットフォームを見せてよ? 貧弱なHTMLビューを、何千もの返信があるスレッドの管理と混同しないでね。ローカルフィルタリングが、興味のないスレッドを無視する鍵なんだ。クライアントによっては、2、3回のキーストロークでスレッド全体やその特定のサブブランチを無視できて、次の興味深い未読メッセージに自動でジャンプできるんだよ。

彼らは、プロジェクトごとにディスカッションクライアントやツールを切り替えたり、広告や無駄な絵文字に気を取られたりする必要がないから、効率的なんだよね。しかも、検閲はユーザー自身が行うから、政治的な理由でディスカッションを禁止する管理者の気まぐれに振り回されることもない。

Usenetの方が多分いいけど、ざっくり言うと、もう誰もUsenetフィードにアクセスできないんだよね。メーリングリストは、スレッドを使いたい人には使えるし(誰もMicrosoftやGoogleのひどいメールソフトでスレッドヘッダーをめちゃくちゃにしなければだけど)、読みたい人はファイアホースから読むこともできる。隠れている人向けに、メーリングリストのスレッド表示もたくさんあるよ。

「なぜ一部の人が開発にメーリングリストを好むのか理解できない…」って言ってるけど、その好みを持ってる人は、ウェブブラウザじゃなくて、特化したメールツールでメーリングリストを処理してるんだよね。もしウェブブラウザでしかメールを見たことがないなら、メーリングリストの形式が変だと思うのも無理はないよ。

それはオープンフォーマットで、基本的なツールを使えば、情報を消費するためのとても良いパイプラインを作れるんだ。便利さや自動化に上限はないよ。Gmailや他のウェブメールクライアントは、良いメールワークフローの代表じゃないからね。

それはバトルテスト済みで、20年前の古いコンピュータでも使えるよ。JavaScriptも必要ないし、アーカイブも簡単だし、オープンフォーマットでもあるんだ。

LLMは実際、高ボリュームのメーリングリストを管理するのに必要なこと(要約、重複探し、感情分析、フラグ付けなど)を結構得意としてるみたいだね。人間の目の補助としてだけど。それでも、これが関わってる人たちにとってはイラッとくる理由もわかるよ。

それはただのセキュリティ/保護の詐欺で、余計なステップがあるだけだよ。「誰かがあなたのビジネスやサイトを攻撃するためにお金を払っている。私たちにお金を払えば、私たちの攻撃からあなたのサイトを守るよ。」

これは時間が経てば自然に解決すると思うよ。人々がAI支援のPRをLinuxカーネルに持ち込むことがもはや印象的ではないと気づくから。