AI Laporan Bug Duplikasi Mengganggu Mailing List Linux

Penggunaan alat kecerdasan buatan (AI) untuk menemukan celah keamanan kini menimbulkan masalah tak terduga bagi pengembang kernel Linux. Linus Torvalds, pencipta Linux, baru saja menulis tentang bagaimana daftar mailing list keamanan mereka menjadi “kacau” akibat lonjakan laporan bug yang dihasilkan oleh AI.

Dalam catatan terbarunya tentang kondisi kernel, Torvalds menggambarkan situasi ini membuat sistem pelaporan hampir tidak dapat dikelola. Sumber utama masalahnya adalah duplikasi yang melimpah: banyak orang menemukan bug yang sama karena memakai alat AI yang sama pula.

Dia menegaskan secara lugas: “Hanya untuk memperjelas: jika Anda menemukan bug menggunakan alat AI, kemungkinan besar orang lain juga telah menemukannya. Memperlakukan temuan tersebut di daftar privat adalah buang-buang waktu bagi semua pihak yang terlibat, dan hanya memperburuk duplikasi karena pelapor tidak bisa melihat laporan satu sama lain,” ujar Torvalds.

Menurutnya, AI memang hebat bila benar-benar membantu. Namun tren pelaporan instan saat ini justru menambah pekerjaan yang tidak produktif. Ia menyoroti contoh positif: beberapa celah keamanan penting, seperti eksploitasi “Copy Fail” yang memengaruhi hampir semua distro Linux, terdeteksi berkat bantuan AI.

Torvalds menekankan bahwa para peneliti keamanan tidak boleh sekadar mengirim hasil mentah dari AI tanpa pemahaman. Ia berkata: “Jika Anda benar-benar ingin memberikan nilai tambah, bacalah dokumentasinya, buatlah patch (tambalan) juga, dan tambahkan nilai nyata di atas apa yang dikerjakan oleh AI. Jangan jadi tipe orang yang hanya 'lewat, kirim laporan acak tanpa pemahaman nyata',” tegasnya.

Reaksi terhadap keluhan Torvalds datang dari Jarom Brown, Senior Product Security Engineer di GitHub. Brown menegaskan bahwa GitHub tidak bermasalah dengan AI, selama laporan tersebut tervalidasi. Ia menambahkan bahwa temuan AI yang telah diverifikasi, dapat direproduksi, dan dilengkapi Proof of Concept (PoC) yang berfungsi, merupakan laporan yang luar biasa.

Brown menekankan bahwa “output AI mentah yang dikirim apa adanya tanpa bukti dampak nyata adalah hal yang tidak berguna.” Ia menutup dengan: “Satu temuan yang divalidasi dan diteliti dengan baik bernilai lebih dari 10 laporan spekulatif, baik dalam hal pembayaran bounty maupun reputasi. Para peneliti yang paling banyak mendapatkan bayaran dari program kami adalah mereka yang menggali lebih dalam, bukan yang mengutamakan volume,” ungkapnya.

Perdebatan ini menyoroti betapa pentingnya kualitas pelaporan dalam komunitas keamanan. AI dapat mempercepat penemuan bug, namun tanpa verifikasi dan kontribusi nyata, data tersebut justru menambah kebingungan. Kunci utamanya adalah kolaborasi yang terstruktur: pelaporan yang terverifikasi, patch yang disusun, dan bukti yang jelas. Dengan cara ini, AI dapat menjadi alat bantu yang produktif, bukan sumber gangguan bagi pengembang kernel Linux.