Linus Torvalds: “AI đang làm quá tải bảo mật hệ điều hành Linux”

Khi AI trở thành công cụ phổ biến trong lĩnh vực bảo mật phần mềm, không phải lúc nào nhiều hơn cũng có nghĩa là tốt hơn. Cha đẻ của Linux vừa lên tiếng cảnh báo rằng chính làn sóng báo cáo lỗ hổng do AI tạo ra đang khiến hệ thống bảo mật nội bộ của dự án rơi vào tình trạng quá tải nghiêm trọng.

1. Danh sách bảo mật Linux "gần như không thể quản lý"

Trong bài đăng hàng tuần trên LKML (Linux Kernel Mailing List),Linus Torvalds cho biết danh sách bảo mật riêng tư của dự án hiện "gần như không thể quản lý". Cảnh báo này được đưa ra trong bản cập nhật phiên bản thử nghiệm thứ tư (release candidate 4) của Linux 7.1, công bố ngày 17/5/2026.

Nguyên nhân là hàng loạt nhà nghiên cứu độc lập cùng chạy một loại công cụ AI trên cùng một đoạn mã nguồn, phát hiện ra những lỗi giống hệt nhau, rồi ồ ạt gửi báo cáo về. Do danh sách được bảo mật và giữ kín, các nhà nghiên cứu không thể biết lỗi đã có ai báo cáo hay chưa. Hệ quả là đội ngũ kỹ sư duy trì dự án mất rất nhiều thời gian phân loại email trùng lặp, đồng thời hướng dẫn người gửi tìm đến các bản sửa lỗi vốn đã được cập nhật từ nhiều tuần trước.

Torvalds nhận định rằng các lỗi do AI phát hiện, về bản chất, hầu như không phải bí mật, và việc xử lý chúng qua kênh riêng tư đang gây lãng phí thời gian cho tất cả những ai tham gia.

Ông Linus Torvalds chia sẻ hiện thực về AI. Nguồn: Github

2. Từ 2 đến 3 báo cáo mỗi tuần lên 5 đến 10 báo cáo mỗi ngày

Willy Tarreau, người sáng lập HAProxy và là kỹ sư duy trì lâu năm của nhân Linux, cho biết hai năm trước, danh sách email bảo mật chỉ nhận khoảng 2 đến 3 báo cáo mỗi tuần, nhưng giờ đây con số này đã tăng lên 5 đến 10 báo cáo mỗi ngày. Phần lớn trong số đó là những lỗi bảo mật có thật, nhưng sự trùng lặp lớn giữa các nhà nghiên cứu sử dụng cùng bộ công cụ đã làm quá tải hoàn toàn quy trình phân loại truyền thống.

Tài liệu bảo mật mới của Linux 7.1, do Willy Tarreau biên soạn, xác nhận rằng các lỗi được phát hiện bằng AI có xu hướng xuất hiện đồng thời ở nhiều nhà nghiên cứu khác nhau, thường trong cùng một ngày.

Chính sách mới: Lỗi AI phát hiện phải được công khai

Theo tài liệu hướng dẫn mới được cập nhật, dự án nhân Linux hiện chính thức yêu cầu tất cả lỗ hổng tìm thấy bằng công cụ AI phải được xử lý như thông tin tiết lộ công khai. Thay vì gửi vào danh sách bảo mật riêng tư, người báo cáo phải gửi trực tiếp đến các kỹ sư duy trì nhánh mã nguồn liên quan. Báo cáo phải ngắn gọn, định dạng bằng văn bản thuần túy và đính kèm quy trình tái hiện lỗi đã được xác minh.

Danh sách bảo mật riêng tư từ nay chỉ dành cho các trường hợp khẩn cấp, cụ thể là những lỗ hổng dễ bị khai thác, ảnh hưởng nghiêm trọng đến nhiều người dùng hoặc cho phép leo thang đặc quyền mà không cần điều kiện đặc biệt.

3. Torvalds kêu gọi nâng cao trách nhiệm

Torvalds kêu gọi các nhà nghiên cứu bảo mật hãy đọc tài liệu hướng dẫn, tạo bản vá sửa lỗi kèm theo, và gia tăng giá trị thực sự thay vì chỉ gửi những phát hiện thô từ AI. Ông nhấn mạnh rằng đừng trở thành kiểu người chỉ gửi báo cáo qua loa mà không thực sự hiểu vấn đề.

Dự án Linux không cấm việc sử dụng AI trong nghiên cứu bảo mật, nhưng yêu cầu người đóng góp phải vượt qua giai đoạn báo cáo đơn thuần, mang đến bản vá, ngữ cảnh và sự hiểu biết thực sự về vấn đề.

Sự việc này phản ánh một căng thẳng mang tính hệ thống đang xuất hiện trong các hệ sinh thái mã nguồn mở: khả năng quét lỗ hổng tự động mở rộng nhanh hơn rất nhiều so với năng lực đánh giá của con người, và nếu không có kỷ luật, chính những công cụ được tạo ra để củng cố bảo mật lại có thể làm tê liệt đội ngũ chịu trách nhiệm bảo vệ hệ thống.

Nguồn: VnExpress