Linus Torvalds warnt: KI-Tools lähmen Linux-Sicherheitsliste

10
News Sven Bauduin Als bevorzugte Quelle auf Google hinzufügen
Linus Torvalds warnt: KI-Tools lähmen Linux-Sicherheitsliste
Quelle: GitHub

Linus Torvalds zieht eine Linie: Im Update zum Release Candidate 4 von Linux 7.1 erklärt der Kernel-Chef die private Security-Mailingliste für "praktisch unbedienbar" - wegen einer Flut KI-generierter Bug-Reports von Drive-by-Hackern.

Der Linux-Schöpfer und Chefentwickler Linus Torvalds hat in seinem neuesten wöchentlichen "State of the Kernel"-Posting zum vierten Release Candidate ("RC4") von Linux 7.1 klare Worte gefunden. Die private Security-Mailingliste des freien Kernel-Projekts sei mittlerweile "praktisch unbedienbar". Schuld an der Misere seien solche Sicherheitsforscher, welche dieselben KI-Werkzeuge gegen denselben Quellcode laufen lassen und so eine riesige Flut identischer Bug-Reports erzeugen.

Von 3 pro Woche auf 10 pro Tag: Linux-Triage am Limit

"Diese Leute verbringen ihre gesamte Zeit damit, Meldungen weiterzuleiten oder darauf hinzuweisen, dass der Bug bereits vor einer Woche oder einem Monat gefixt wurde", so Torvalds auf der Linux Kernel Mailing List ("LKML"). Die rein technische Entwicklung von Linux 7.1 verlaufe dagegen "relativ normal", so der Initiator.

Wie dramatisch die Lage ist, zeigt eine Zahl von HAProxy-Schöpfer und Stable-Maintainer Willy Tarreau: Vor zwei Jahren erreichten die Security-Liste noch zwei bis drei Bug-Meldungen pro Woche, mittlerweile sind es fünf bis zehn pro Tag. Das interne Triage-System ist damit komplett überfordert. Linus Torvalds bezeichnet den Effekt als "vollkommen sinnlose Zwangsarbeit" und ist davon "ziemlich bedient".

Weil die Reporter die privaten Meldungen der anderen Forscher nicht einsehen können, schicken sie dieselben Funde immer wieder neu ein. Sein zentrales Argument: Bugs, die eine frei verfügbare KI aufspüren kann, seien "per Definition kein Geheimnis" - die exakt gleichen Tools lägen ja auch jedem Angreifer in der Hand.

Neue Kernel-Doku: KI-Bugs gehen ab sofort öffentlich

Mit Linux 7.1 zieht das Projekt nun die strukturelle Notbremse. Eine von Tarreau überarbeitete Dokumentation stellt klar: "Wenn ihr zur Identifikation eines Bugs auf KI-Hilfe zurückgegriffen habt, müsst ihr ihn als öffentlich behandeln." Künftig gehen die mittels KI generierte Reports also direkt an die zuständigen Maintainer - und so entsprechend nicht mehr über den privaten Kanal.

Bereits zuvor hatten die Entwickler den Umgang mit KI-Code geregelt: KI-Agenten dürfen den rechtsverbindlichen "Signed-off-by"-Tag nicht setzen, stattdessen ist ein neuer "Assisted-by"-Tag Pflicht. Linux-Maintainer-Kollege Greg Kroah-Hartman macht es derweil mit seinem "Clanker T1000"-System auf einem Framework Desktop mit einem AMD Ryzen AI Max+ vor: Problem erkennen, Patch schreiben und die Verantwortung übernehmen. Linus Torvalds' Appell an die Community:

Sei nicht der Drive-by-Typ, der einen wahllosen Report ohne echtes Verständnis abschickt. — Linus Torvalds, Linux-Chefentwickler

Es bleibt nur zu hoffen, dass sich die Flut an KI-Bug-Reports damit in Zukunft zumindest ein wenig eindämmen lässt.

Ihre Meinung ist gefragt!

Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich über Ihre fundierte Meinung in den Kommentaren zu dieser Meldung. Um zu kommentieren, müssen Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie bisher noch keinen Account haben, könnten Sie sich hier unverbindlich registrieren. Beachten Sie beim Kommentieren aber bitte die geltenden Forenregeln.

Quelle:

10
    • Kommentare (10)

      Zur Diskussion im Forum
      • Von BxBender Volt-Modder(in)
        Zitat von DarkWing13
        Warum Mails?
        Warum keine Online-Datenbank in der Bugs und Fehler gemeldet/eingetragen und Dubletten (mit "KI" ) analysiert werden können?
        Wäre auch ein gewisser Blocker gegen Leute, die nur "Spamen".
        KI macht wahnsinnig viele Fehler und ist einfach nur dumm, es kann keine eigenen Fehler prüfen und erkennen.
        Schnell bedeutet nicht gleich intelligent.
        Seitdem ist die Fehlerquote laut Statistik um 39% gestiegen.
        Eine KI auch noch Zugriff auf die wichtigste Abteilung zu verschaffen, ist am Ende kontraproduktiv, wie man hier wieder schön sehen kann. Auch gehören Mailinglisten etc. dazu, das darf einfach nicht von einer KI gemanged werden, da passiert zu viel Müll.
        Wer etwas anderes behauptet, soll sich wie die Autovermieterfirma so ein Ding selbst installieren und Vollzugriff auf sämtliche Daten geben.
        Mal sehen, ob es noch schneller als 9 Sekunden geht, sich alles zu zerschießen und zu löschen.
        Zu wünschen wäre es ja.
      • Von BxBender Volt-Modder(in)
        Zitat von DarkWing13
        Warum Mails?
        Warum keine Online-Datenbank in der Bugs und Fehler gemeldet/eingetragen und Dubletten (mit "KI" ) analysiert werden können?
        Wäre auch ein gewisser Blocker gegen Leute, die nur "Spamen".
        KI macht wahnsinnig viele Fehler und ist einfach nur dumm, es kann keine eigenen Fehler prüfen und erkennen.
        Schnell bedeutet nicht gleich intelligent.
        Seitdem ist die Fehlerquote laut Statistik um 39% gestiegen.
        Eine KI auch noch Zugriff auf die wichtigste Abteilung zu verschaffen, ist am Ende kontraproduktiv, wie man hier wieder schön sehen kann. Auch gehören Mailinglisten etc. dazu, das darf einfach nicht von einer KI gemanged werden, da passiert zu viel Müll.
        Wer etwas anderes behauptet, soll sich wie die Autovermieterfirma so ein Ding selbst installieren und Vollzugriff auf sämtliche Daten geben.
        Mal sehen, ob es noch schneller als 9 Sekunden geht, sich alles zu zerschießen und zu löschen.
        Zu wünschen wäre es ja.
      • Von ParrotHH Komplett-PC-Aufrüster(in)
        Zitat von Cleriker
        Das "milliardenfach installiert" hab ich weggestrichen, weil es irreführend wirkt. Man könnte denken, du wärst der Ansicht, es wäre milliardenfach im Einsatz. Nur weil XX Millionen es nutzen und x-fach auf verschiedenen Systemen installieren mussten oder wollten, ist das ja nicht gleichzusetzen mit BS die wirklich auch milliardenfach genutzt werden.
        Du vergisst, dass z. B. Android einen Linux-Kernel nutzt, Smart-TVs, Router, IoT-Systeme, Infotainment-Systeme in Autos, und viele andere Embedded-Systeme.
      • Von Cleriker Kokü-Junkie (m/w)
        Zitat von ParrotHH
        Wir können hier ein typisches Merkmal bei der disruptiven Einführung neuer Technologien betrachten: der Mensch ist anfangs überfordert, weil es noch keine Erfahrung und eingeübte Prozesse mit der Handhabung gibt, und *schwupps* lastet man das der neuen Technologie an und verteufelt sie.
        Wer tut das? Weder in der News, noch in den dir vorangegangenen Kommentaren ist das der Fall.
        Man lastet den Menschen an eine Tech zu nutzen und unreflektiert und ohne Lösungsansatz derer Ergebnis weiterzureichen.
        Zitat von ParrotHH
        Ich lese den Artikel völlig anders!
        Das Gefühl habe ich auch.
        Zitat von ParrotHH
        Es ist doch im Prinzip eine gute Sache, wenn es Tools gibt, die automatisiert Fehler in kritischer, [Ins Forum, um diesen Inhalt zu sehen] Software finden. Nur gefundene Fehler können behoben werden, und sind anschließend keine Gefahr mehr.
        Ums beheben gehts ja. Ist wie überall anders auch. Schönes Beispiel: Kritik an Windows. Da wird auch gemosert und geschimpft, aber wie es besser geht schlägt keiner ernsthaft vor.
        Das "milliardenfach installiert" hab ich weggestrichen, weil es irreführend wirkt. Man könnte denken, du wärst der Ansicht, es wäre milliardenfach im Einsatz. Nur weil XX Millionen es nutzen und x-fach auf verschiedenen Systemen installieren mussten oder wollten, ist das ja nicht gleichzusetzen mit BS die wirklich auch milliardenfach genutzt werden.
        Selbst bei Windows (im Allgemeinen) wird ja nicht einmal von Milliarden gesprochen. Da glaube ich nicht daran, dass es gar mehrere Milliarden PC's mit Linux gibt.
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Was mich wundert: Wieso werden die Auto-Spamer nicht einfach geblockt?
        Wie von [Ins Forum, um diesen Inhalt zu sehen] anmerkt, dient diese Mailinglist meinem Wissen nach eben nicht als Ersatz für eine Datenbank, sondern der schnellen Kommunikation zwischen Entwicklern. Wer da automatische Funde automatisch an alle verschickt, ohne sich auch nur die Mühe zu machen, den Ist-Stand der Entwicklung nachzuvollziehen, geschweige denn eigene Lösungsimplementationen zu entwickeln und zu testen, der sollte den Zugang zum Verteiler verlieren.
      • Von 0-10 Schraubenverwechsler(in)
        Weil Mails bei niedrigem Aufkommen einfacher zu handhaben sind. Zumal man in diesem konkreten Fall auch bedenken muss, dass es sich da um die private Security-Mailingliste handelt, d.h. die Melder vermeintlicher Sicherheitslücken können nicht sehen / prüfen, ob diese Lücke bereits gemeldet / bekannt ist, oder nicht.

        Daher ja auch die Aufforderung alle Funde von "öffentlichen" KI-Systemen auch als potenzielle öffentlich bekannte Sicherheitslücke zu betrachten, die dann auch über Online Datenbanken (bspw. https://bugzilla.kernel.o...) verwaltet und eingesehen werden können.
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 07/2026 play5 08/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk