News Linus Torvalds warnt: KI-Tools lähmen Linux-Sicherheitsliste

PCGH_Sven

PCGH_Sven

PCGH-Autor
Linus Torvalds zieht eine Linie: Im Update zum Release Candidate 4 von Linux 7.1 erklärt der Kernel-Chef die private Security-Mailingliste für "praktisch unbedienbar" - wegen einer Flut KI-generierter Bug-Reports von Drive-by-Hackern.

Was sagt die PCGH-X-Community zu Linus Torvalds warnt: KI-Tools lähmen Linux-Sicherheitsliste

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.
 
qgj_ schrieb:
Ein Trauerspiel. Kann man nur hoffen, dass die tatsächliche Entwicklung davon über kurz oder lang weitestgehend unberührt bleibt.
Zum Vergrößern anklicken....
Die Frage ist, wie es mit der Entwicklung mit KI weiter geht. Reflexartig würde man wohl KI ablehnen (sehe ich das vibe coding von einem gewissen Arbeitskollegen wird mir spei übel). Aber ohne KI lässt man einfach auch viel Potential liegen. Ich denke man sollte die Leute ermutigen KI mit System einzusetzen:
  • Zum Beispiel wie Peer Programming: Mensch und KI wechseln sich ab, prüfen sich gegenseitig
  • Oder KI als Guide: Mensch programmiert, KI erzählt dem Mensch wo schon mal etwas ähnliches programmiert wurde und wo die vor und Nachteile liegen
  • KI als Zweitmeinung (siehe Artikel): KI weist Mensch auch Bugs, Sicherheitslücken hin
Gerade der dritte Punkt wäre ja unproblematisch und würde das Problem der Bug Reports stark reduzieren. Man könnte es sogar automatisieren, quasi als Anforderung vor dem pull request
 
joecnstr schrieb:
Die Frage ist, wie es mit der Entwicklung mit KI weiter geht. Reflexartig würde man wohl KI ablehnen (sehe ich das vibe coding von einem gewissen Arbeitskollegen wird mir spei übel). Aber ohne KI lässt man einfach auch viel Potential liegen. Ich denke man sollte die Leute ermutigen KI mit System einzusetzen:
  • Zum Beispiel wie Peer Programming: Mensch und KI wechseln sich ab, prüfen sich gegenseitig
  • Oder KI als Guide: Mensch programmiert, KI erzählt dem Mensch wo schon mal etwas ähnliches programmiert wurde und wo die vor und Nachteile liegen
  • KI als Zweitmeinung (siehe Artikel): KI weist Mensch auch Bugs, Sicherheitslücken hin
Gerade der dritte Punkt wäre ja unproblematisch und würde das Problem der Bug Reports stark reduzieren. Man könnte es sogar automatisieren, quasi als Anforderung vor dem pull request
Zum Vergrößern anklicken....
So lange pragmatische und zielgerichtete Personen wie Torvalds die Oberhand haben wird das sicherlich auch im Rahmen bleiben. Der Mann versteht sein Handwerk und trifft meist die richtigen Entscheidungen, auch wenn die manchmal harsch und "unfreundlich" wirken. Er arbeitet eben priorisiert und zielorientiert.
 
Wir können hier ein typisches Merkmal bei der disruptiven Einführung neuer Technologien betrachten: der Mensch ist anfangs überfordert, weil es noch keine Erfahrung und eingeübte Prozesse mit der Handhabung gibt, und *schwupps* lastet man das der neuen Technologie an und verteufelt sie.

Ich lese den Artikel völlig anders! Es ist doch im Prinzip eine gute Sache, wenn es Tools gibt, die automatisiert Fehler in kritischer, weil milliardenfach installierter Software finden. Nur gefundene Fehler können behoben werden, und sind anschließend keine Gefahr mehr.

Offensichtlich ist das Handling für solche Meldungen aber nicht auf das aktuelle Volumen und die mehrfache Meldung ausgelegt. OK, dann muss man das anpassen, und das passiert ja auch gerade. Irgendwann pendelt sich dann alles wieder ein, weil die "low hanging fruits" gefunden und gefixed sind, also die Meldungen weniger werden. Mehrfache Meldungen werden aufgrund angepassten Vorgehens als solche erkannt (vielleicht durch den Einsatz von: KI...?) und erzeugen keinen Mehraufwand mehr. Die Meute der Neugierigen, die aktuell die Listen vollspammt, ist irgendwann zum nächsten heißen Scheiß weitergezogen, und die Gesamtanzahl der Fehler im Linux-Kernel stabilisiert sich auf einem deutlich niedrigeren Niveau.
 
Warum Mails?
Warum keine Online-Datenbank in der Bugs und Fehler gemeldet/eingetragen und Dubletten (mit "KI" ;)) analysiert werden können?
Wäre auch ein gewisser Blocker gegen Leute, die nur "Spamen".
 
Weil Mails bei niedrigem Aufkommen einfacher zu handhaben sind. Zumal man in diesem konkreten Fall auch bedenken muss, dass es sich da um die private Security-Mailingliste handelt, d.h. die Melder vermeintlicher Sicherheitslücken können nicht sehen / prüfen, ob diese Lücke bereits gemeldet / bekannt ist, oder nicht.

Daher ja auch die Aufforderung alle Funde von "öffentlichen" KI-Systemen auch als potenzielle öffentlich bekannte Sicherheitslücke zu betrachten, die dann auch über Online Datenbanken (bspw. https://bugzilla.kernel.org/) verwaltet und eingesehen werden können.
 
Was mich wundert: Wieso werden die Auto-Spamer nicht einfach geblockt?
Wie von @0-10 anmerkt, dient diese Mailinglist meinem Wissen nach eben nicht als Ersatz für eine Datenbank, sondern der schnellen Kommunikation zwischen Entwicklern. Wer da automatische Funde automatisch an alle verschickt, ohne sich auch nur die Mühe zu machen, den Ist-Stand der Entwicklung nachzuvollziehen, geschweige denn eigene Lösungsimplementationen zu entwickeln und zu testen, der sollte den Zugang zum Verteiler verlieren.
 
ParrotHH schrieb:
Wir können hier ein typisches Merkmal bei der disruptiven Einführung neuer Technologien betrachten: der Mensch ist anfangs überfordert, weil es noch keine Erfahrung und eingeübte Prozesse mit der Handhabung gibt, und *schwupps* lastet man das der neuen Technologie an und verteufelt sie.
Zum Vergrößern anklicken....
Wer tut das? Weder in der News, noch in den dir vorangegangenen Kommentaren ist das der Fall.
Man lastet den Menschen an eine Tech zu nutzen und unreflektiert und ohne Lösungsansatz derer Ergebnis weiterzureichen.
ParrotHH schrieb:
Ich lese den Artikel völlig anders!
Zum Vergrößern anklicken....
Das Gefühl habe ich auch.
ParrotHH schrieb:
Es ist doch im Prinzip eine gute Sache, wenn es Tools gibt, die automatisiert Fehler in kritischer, weil milliardenfach installierter Software finden. Nur gefundene Fehler können behoben werden, und sind anschließend keine Gefahr mehr.
Zum Vergrößern anklicken....
Ums beheben gehts ja. Ist wie überall anders auch. Schönes Beispiel: Kritik an Windows. Da wird auch gemosert und geschimpft, aber wie es besser geht schlägt keiner ernsthaft vor.
Das "milliardenfach installiert" hab ich weggestrichen, weil es irreführend wirkt. Man könnte denken, du wärst der Ansicht, es wäre milliardenfach im Einsatz. Nur weil XX Millionen es nutzen und x-fach auf verschiedenen Systemen installieren mussten oder wollten, ist das ja nicht gleichzusetzen mit BS die wirklich auch milliardenfach genutzt werden.
Selbst bei Windows (im Allgemeinen) wird ja nicht einmal von Milliarden gesprochen. Da glaube ich nicht daran, dass es gar mehrere Milliarden PC's mit Linux gibt.
 
Cleriker schrieb:
Das "milliardenfach installiert" hab ich weggestrichen, weil es irreführend wirkt. Man könnte denken, du wärst der Ansicht, es wäre milliardenfach im Einsatz. Nur weil XX Millionen es nutzen und x-fach auf verschiedenen Systemen installieren mussten oder wollten, ist das ja nicht gleichzusetzen mit BS die wirklich auch milliardenfach genutzt werden.
Zum Vergrößern anklicken....

Du vergisst, dass z. B. Android einen Linux-Kernel nutzt, Smart-TVs, Router, IoT-Systeme, Infotainment-Systeme in Autos, und viele andere Embedded-Systeme.
 
DarkWing13 schrieb:
Warum Mails?
Warum keine Online-Datenbank in der Bugs und Fehler gemeldet/eingetragen und Dubletten (mit "KI" ;)) analysiert werden können?
Wäre auch ein gewisser Blocker gegen Leute, die nur "Spamen".
Zum Vergrößern anklicken....
KI macht wahnsinnig viele Fehler und ist einfach nur dumm, es kann keine eigenen Fehler prüfen und erkennen.
Schnell bedeutet nicht gleich intelligent.
Seitdem ist die Fehlerquote laut Statistik um 39% gestiegen.
Eine KI auch noch Zugriff auf die wichtigste Abteilung zu verschaffen, ist am Ende kontraproduktiv, wie man hier wieder schön sehen kann. Auch gehören Mailinglisten etc. dazu, das darf einfach nicht von einer KI gemanged werden, da passiert zu viel Müll.
Wer etwas anderes behauptet, soll sich wie die Autovermieterfirma so ein Ding selbst installieren und Vollzugriff auf sämtliche Daten geben.
Mal sehen, ob es noch schneller als 9 Sekunden geht, sich alles zu zerschießen und zu löschen.
Zu wünschen wäre es ja.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Sven
News Tux wird 30: Wie Linus Torvalds den Linux-Pinguin konzipierte
Antworten
10
Aufrufe
647
Idefix Windhund
Idefix Windhund
PCGH-Redaktion
News Linux-Erfinder Torvalds: "Es bringt nichts, über KI-Schrott zu reden"
2 3
Antworten
45
Aufrufe
3K
PCGH_Torsten
PCGH_Torsten
PCGH_Sven
News "Grau und alt": Linux-Notfallplan zur Nachfolge von Linus Torvalds
Antworten
9
Aufrufe
885
SirMarc
SirMarc
PCGH_Sven
News Ist das der ideale Linux-PC? Zusammenbau mit Linus Torvalds
Antworten
5
Aufrufe
711
sven842
sven842
PCGH_Jacky
News Linux-Erfinder Torvalds: Radeon RX 580 bleibt, Intel ersetzt Apple
2
Antworten
22
Aufrufe
2K
1xok
1
Oben Unten
Zurück