.webp)
Tren penggunaan alat kecerdasan buatan (AI) untuk mencari celah keamanan rupanya membawa efek samping yang memusingkan bagi tim pengembang Linux. Sang pencipta, Linus Torvalds, baru-baru ini mengeluhkan betapa kacaunya mailing list keamanan mereka akibat banjir laporan bug yang dihasilkan oleh AI.
Dalam laporan terbarunya mengenai kondisi kernel Linux, Torvalds menyebut fenomena ini membuat sistem pelaporan menjadi hampir tidak bisa dikelola. Masalah utamanya terletak pada tingkat duplikasi yang masif, di mana banyak orang menemukan bug yang sama karena menggunakan alat AI yang sama pula.
Melalui pesannya yang lugas, Torvalds menegaskan bahwa temuan bug dari AI tidak lagi pantas diperlakukan sebagai rahasia tinggi di dalam daftar pelaporan privat.
SCROLL TO CONTINUE WITH CONTENT
"Hanya untuk memperjelas: jika Anda menemukan bug menggunakan alat AI, kemungkinan besar orang lain juga telah menemukannya. Memperlakukan temuan tersebut di daftar privat adalah buang-buang waktu bagi semua pihak yang terlibat, dan hanya memperburuk duplikasi karena pelapor tidak bisa melihat laporan satu sama lain," papar Torvalds.
Menurutnya, alat AI memang luar biasa jika benar-benar membantu. Namun saat ini, tren pelaporan instan tersebut justru lebih banyak menimbulkan pekerjaan sia-sia yang tidak produktif.
Torvalds tidak sepenuhnya anti terhadap AI. Faktanya, beberapa celah keamanan krusial seperti eksploitasi "Copy Fail" yang berdampak pada hampir seluruh distro Linux, berhasil terdeteksi berkat bantuan AI.
Namun, ia meminta para peneliti keamanan untuk tidak sekadar melempar hasil mentah dari AI tanpa pemahaman.
"Jika Anda benar-benar ingin memberikan nilai tambah, bacalah dokumentasinya, buatlah patch (tambalan) juga, dan tambahkan nilai nyata di atas apa yang dikerjakan oleh AI. Jangan jadi tipe orang yang hanya 'lewat, kirim laporan acak tanpa pemahaman nyata'," tegasnya.
GitHub Turut Rasakan Hal Serupa
Keluhan Torvalds rupanya diamini oleh Senior Product Security Engineer GitHub, Jarom Brown. Menanggapi gelombang laporan bug AI belakangan ini, Brown menegaskan bahwa GitHub pada dasarnya tidak bermasalah dengan AI, asalkan laporannya tervalidasi.
Menurut Brown, temuan AI yang telah diverifikasi, bisa direproduksi, dan dikirim bersama dengan Proof of Concept (PoC) yang berfungsi adalah sebuah laporan yang luar biasa. Sebaliknya, output AI mentah yang dikirim apa adanya tanpa bukti dampak nyata adalah hal yang tidak berguna.
"Satu temuan yang divalidasi dan diteliti dengan baik bernilai lebih dari 10 laporan spekulatif, baik dalam hal pembayaran bounty maupun reputasi. Para peneliti yang paling banyak mendapatkan bayaran dari program kami adalah mereka yang menggali lebih dalam, bukan yang mengutamakan volume," pungkas Brown, demikian dirangkum detikINET dari The Verge, Sabtu (23/5/2026).
(asj/asj)
