Linux kernelの生みの親であるLinus Torvaldsが、Linuxのsecurity mailing listについてかなり強い言葉で不満を表明しました。
要するに、「AIを使ってバグを探す人が増えたのはいいけれど、同じ発見が何通も何通も届いて、もう回らない」という話です。
security mailing listは、Linuxのセキュリティ問題を報告・議論するための場所です。
本来は、研究者や開発者が脆弱性を見つけて共有し、修正につなげる“重要な玄関口”のはず。
でも今回の話では、その玄関口が郵便受けの山に埋もれてしまった、というわけです。
Torvaldsによると、最近のAI由来の報告ラッシュで、リストは「almost entirely unmanageable」になったとのこと。
しかも厄介なのは、単に件数が多いだけでなく、違う人が同じツールを使って、同じバグを見つけ、同じような報告を送ってくること。
これは現場からすると、かなりしんどいと思います。新しい情報を探すより、「それは既に直ってます」「既出です」と返す作業の方に時間を取られるのですから。
背景には、AIがバグ発見の“入口”としてすごく使いやすくなったことがあります。
たとえば、AIはコードをざっと読んで「ここ怪しいかも」と候補を挙げるのが得意です。
でも、同じようなAIツールを多くの人が使えば、当然“怪しい場所”の答えは似てきます。
つまり、AIが悪いというより、みんなが同じレーダーを持って同じ山を探している状態です。
そりゃ同じところで同じ宝箱を掘り当てる人が増えますよね。
これは面白い反面、運営側にはかなりの痛手です。
Torvaldsはこれを「unnecessary pain and pointless work(不要な苦痛と無意味な作業)」に近い状況だと見ています。
この言い方、かなり辛辣ですが、気持ちはわかります。
セキュリティの世界では、報告の“数”より“質”が重要です。
似た報告を何十件も受けるくらいなら、ひとつの報告に情報を集約してくれたほうがずっと助かるはずです。
Torvaldsは、AIそのものを全面否定しているわけではありません。
むしろ「AI tools are great, but only if they actually help」と書いていて、役に立つなら歓迎という立場です。
ただし条件がある。
それは、AIを使ってバグっぽいものを見つけたなら、そこで満足せず、
というところまでやってほしい、ということです。
この指摘はかなり重要だと思います。
AIは“見つける”ところまではすごく強いけれど、本当に価値が出るのは、見つけた後に何をするかです。
単なる「ここ怪しいです」の量産は、もはや開発者の仕事を増やすだけ。
Torvaldsが嫌がるのも当然ではないでしょうか。
記事で特に印象的なのは、Torvaldsが「AI detected bugs are pretty much by definition not secret」と言っている点です。
ざっくり言うと、AIで見つけたバグは、だいたい“秘密”ではないという見方です。
だから、非公開の場でこそこそ扱うより、公開の議論に乗せたほうがいい、という理屈です。
非公開リストに回すと、他の人の報告が見えず、重複がさらに増える。
結果として、誰も得をしない。ここはかなり筋が通っています。
セキュリティ報告って、秘密主義になりがちです。
でも、少なくとも今回のように「みんなが同じツールで同じことを見つけている」状況では、隠すことがむしろ非効率になる。
このあたり、オープンソース文化の“公開で磨く”思想がよく出ています。
同じLinux界隈でも、見方はかなり違います。
記事の最後では、Linux kernel maintainerのGreg Kroah-Hartmanが、AIをFOSS community(自由ソフトウェアコミュニティ)にとって便利な道具だと語っていたことに触れています。
つまり、
という構図です。
個人的には、この温度差がかなりリアルだと思います。
新しい技術は、現場によって評価が割れるのが普通です。
“便利さ”は確かにあるけれど、運用側がそのコストを吸収しきれなければ、急に厄介者になる。
AIはまさにその典型かもしれません。
今回の件は、単なる「LinusがAI嫌い」といった話ではありません。
むしろ、AI時代の成果物は、出力そのものより“受け取り側の負荷”まで考えないといけないという教訓だと思います。
AIでバグを見つけた人が増えるのは、ある意味では喜ばしいことです。
でも、そのバグ報告が雑で、しかも重複だらけなら、最前線のメンテナは疲弊します。
結局、良い発見があっても処理しきれなければ意味が薄い。
ここはAI活用の“第二段階”として、かなり大事な論点ではないでしょうか。
Torvaldsのメッセージを一言でまとめるなら、
「AIを使うな」ではなく「AIを使うなら、仕事を増やすだけの使い方はやめてくれ」
ということだと思います。
この手の話、今後かなり増えるはずです。
AIが賢くなるほど、発見される問題は増える。
でも、それをどう整理し、どう実装に落とし込むかは、人間側の設計力にかかっています。
便利なはずの道具が、運用次第で“洪水の発生源”になる——この記事はその現実を、かなりはっきり見せています。
.svg)
