✨︎ Resumen (TL;DR):
- Linus Torvalds califica como “inmanejable” la lista de seguridad del kernel debido a un exceso de reportes duplicados generados por IA.
- El kernel Linux 7.1 incluye nuevas reglas que obligan a tratar los hallazgos de IA como reportes públicos de defectos ordinarios.
- Aunque la IA detectó fallas críticas de hace 9 años en tiempo récord, el volumen de notificaciones basura frena el desarrollo.
Linus Torvalds, creador de Linux, declaró que la lista de correo privada de seguridad del kernel se volvió casi imposible de gestionar. El problema principal es una inundación de reportes de errores generados por IA que obliga a los mantenedores a perder tiempo en tareas administrativas en lugar de escribir código.
Al anunciar el cuarto candidato de lanzamiento para el kernel Linux 7.1, Torvalds señaló que los desarrolladores pasan sus jornadas reenviando correos a las personas adecuadas o avisando que un error ya se corrigió hace semanas. Este fenómeno ocurre porque múltiples investigadores usan las mismas herramientas de IA y encuentran vulnerabilidades idénticas de forma simultánea, enviando reportes separados a una lista privada donde no pueden ver lo que otros ya enviaron.
“Las herramientas de IA son geniales, pero solo si realmente ayudan, en lugar de causar un dolor innecesario y un trabajo ficticio sin sentido”, escribió Torvalds. El programador instó a quienes usan estas tecnologías a no ser la clase de persona que envía un reporte aleatorio sin entenderlo realmente, y les pidió añadir valor real creando un parche que acompañe al hallazgo.
Nuevas reglas para frenar el ruido de la IA
Para solucionar este caos, el proyecto Linux integró nueva documentación en el kernel 7.1, redactada por el desarrollador Willy Tarreau. Las nuevas directrices establecen lo siguiente:
- Los errores descubiertos por IA deben ser tratados como reportes públicos, ya que estas herramientas suelen mostrar los mismos fallos a distintos investigadores al mismo tiempo.
- La lista de seguridad privada se reserva exclusivamente para amenazas inminentes que permitan a un atacante vulnerar un sistema en producción correctamente configurado.
- La mayoría de los hallazgos de IA se clasificarán ahora como defectos ordinarios que pertenecen al proceso de reporte público normal.
Esta decisión ocurre en un momento donde la calidad de la IA para encontrar fallos dio un salto drástico. En marzo, el desarrollador Greg Kroah-Hartman notó que los reportes pasaron de ser ruido de baja calidad a hallazgos legítimos casi de la noche a la mañana. Un ejemplo notable fue la detección de la vulnerabilidad CVE-2026-31431, una falla de escalada de privilegios que permaneció oculta por 9 años en el subsistema de criptografía y que una IA detectó en apenas una hora.
El desafío para Linux ahora es canalizar esta capacidad técnica sin que el volumen de datos termine por asfixiar a los humanos encargados de mantener el sistema operativo más importante del mundo.
