Quỹ Linux khởi động dự án giúp các nhà bảo trì nguồn mở chống lại "tiếng ồn" do các báo cáo về lỗ hổng AI gây ra

Sáu công ty công nghệ lớn, bao gồm Anthropic, AWS, GitHub, Google, Microsoft và OpenAI, gần đây đã cùng nhau tài trợ tổng cộng 12,5 triệu USD cho các dự án liên quan của Linux Foundation, nhằm giúp những người bảo trì dự án phần mềm nguồn mở và miễn phí (FOSS) đối phó với áp lực của các báo cáo về lỗ hổng bảo mật "đầy nước" do các công cụ trí tuệ nhân tạo tạo ra.

Quỹ Linux đã chỉ ra trong thông báo rằng khi tình hình bảo mật ngày càng trở nên phức tạp, công nghệ AI đang tăng đáng kể tốc độ và quy mô phát hiện lỗ hổng phần mềm nguồn mở. Các nhà bảo trì đang phải đối mặt với số lượng lớn phản hồi về vấn đề bảo mật chưa từng có, một phần đáng kể trong số đó được tạo ra bởi các hệ thống tự động nhưng thiếu các tài nguyên và công cụ tương ứng để phân loại, sàng lọc và sửa chữa chúng một cách hiệu quả.

Quỹ sẽ được sử dụng để hỗ trợ dự án Alpha-Omega của Linux Foundation, tập trung vào bảo mật chuỗi cung ứng nguồn mở và để cùng thúc đẩy một kế hoạch mới với Tổ chức bảo mật nguồn mở (OpenSSF). Theo báo cáo, hai tổ chức sẽ làm việc trực tiếp với những người bảo trì dự án và cộng đồng của họ để làm cho các khả năng bảo mật mới nổi trở nên dễ tiếp cận hơn, dễ vận hành hơn và tích hợp vào quy trình làm việc của dự án hiện có, đồng thời khám phá các chiến lược bền vững không chỉ giảm bớt áp lực bảo mật ngày càng tăng đối với những người bảo trì mà còn tăng cường khả năng phục hồi của toàn bộ hệ sinh thái nguồn mở.

Người bảo trì cốt lõi của dự án hạt nhân Linux, Greg Kroah-Hartman thừa nhận trong các nhận xét do tổ chức đưa ra rằng chỉ riêng việc tài trợ không thể giải quyết được tất cả các vấn đề mà các công cụ AI mang đến cho các nhóm bảo mật nguồn mở, nhưng ông cũng nhấn mạnh rằng OpenSSF đã có các tài nguyên tương ứng và có thể hỗ trợ những người bảo trì bị choáng ngợp bởi các báo cáo bảo mật do AI tạo ra thông qua nhiều dự án để phân loại và xử lý các báo cáo như vậy hiệu quả hơn.

Tuy nhiên, Linux Foundation vẫn chưa đưa ra thêm thông tin chi tiết về lộ trình kỹ thuật cụ thể, phương pháp thực hiện và thời gian biểu của kế hoạch mới này.

Việc AI tạo ra các báo cáo về lỗ hổng bảo mật chiếm nhiều năng lượng của người bảo trì không phải là vấn đề mới. Ngay từ cuối năm 2024, Python Software Foundation đã công khai phàn nàn về tình trạng tương tự. Kể từ đó, những người duy trì công cụ truyền dữ liệu nguồn mở được sử dụng rộng rãi cURL cũng tuyên bố chấm dứt chương trình tiền thưởng lỗi của dự án vì họ không thể đối phó với số lượng lớn các bài gửi và phản hồi do AI tạo ra.

Ngay cả GitHub, được liên kết với Microsoft, đã bắt đầu xem xét nghiêm túc cách đối phó với làn sóng đóng góp do AI tạo ra và kéo các yêu cầu có chất lượng đáng lo ngại, đồng thời đang khám phá việc thiết lập một loại cơ chế "hãm khẩn cấp" nào đó để ngăn tiếng ồn như vậy tràn vào quá trình cộng tác nguồn mở thông thường.