AIのバグ報告が一晩でゴミから本物になった、とLinuxカーネルの責任者が語る
Greg Kroah-Hartmanは転換点を説明できないが、速度が落ちることも消えることもない
インタビュー 今週KubeCon Europeでの報道向け昼食会に参加していたところ、驚いたことに、次に私の隣に座ったのは長年Linuxカーネルのメンテナを務めるGreg Kroah-Hartmanでした。最近はオランダ在住のGregは、AI、Linux、そしてセキュリティについて短くコメントするために来ていました。私たちは、ここ1か月で、LinuxのセキュリティとコードレビューをめぐるAI主導の活動が、オープンソースの世界の誰も想定していなかった形で「本当に跳ね上がった」ことについて話しました。
「数か月前は、私たちが『AI slop(おそまつなAI出力)』と呼んでいたものを受け取っていました。AIが生成したセキュリティレポートで、明らかに間違っているか、質が低いものです」と彼は言いました。「なんというか、ちょっとおもしろかった。私たちを本当に心配させるほどではなかった。」もちろんLinuxカーネルのメンテナは多いので、彼らにとってのAI slopは、たとえばcURLの創設者でリード開発者のDaniel Stenbergにとってほど負担ではありません。Danielの場合、AI slopのレポートによってcURLチームはバグバウンティの支払いをやめることになったのです。
状況は変わった、とKroah-Hartmanは言います。 「ひと月前に何かが起きて、世界が切り替わった。今は、本物のレポートがあります。」彼は続けます。「Linuxだけではありません。すべてのオープンソースプロジェクトに、AIで作られた“本物のレポート”があります。でも、それらは良くて、実在のものです。」主要なオープンソースプロジェクトのセキュリティチームは、非公式にそして頻繁にやり取りしている、と彼は指摘し、誰もが同じ変化を目にしているのだそうです。「すべてのオープンソースのセキュリティチームが、今まさにこの状況に直面しています。」
その背景に何があるのかは、誰もよく分かっていません。何が変わったのかと問われて、Kroah-Hartmanは率直に答えました。 「分かりません。なぜなのかを知っている人はいない。ツールが大量に良くなったのか、それとも人々が『よし、これを見始めよう』と言い出したのか。いろいろな異なるグループ、いろいろな会社のようです。」はっきりしているのは規模です。「カーネルなら、受け止められます」と彼は言いました。
返却形式: {"translated": "翻訳されたHTML"}「私たちはずっと大きなチームで、非常に分散しています。そして増加は本物です――しかも減速していません。これらは些細なことです。大きなことではありませんが、すべてのオープンソース・プロジェクトに対して、この点で助けが必要です。」小規模なプロジェクトは、もっと突発的な“それっぽいAI生成の”バグ報告やセキュリティ発見の大洪水を吸収するだけの余力がはるかに少ない――少なくとも今は、それが本物のバグであって、ガラクタではないからだ、という含意だった。
裏側では、セキュリティチームが情報を突き合わせている。 「私たちは非公式に集まって、たくさん話します。だって、私たち全員が同じ問題を抱えているからです」と彼は言った。「ツールのどこかに、ある転機があったに違いありません。ローカルのツールが良くなったのですか? それとも、人々が何かを掴んだのでしょうか?正直なところ、私はわかりません。」
当面、AIはLinuxカーネルのコードを“完全な作者”として書くというより、レビュアーやアシスタントとして登場することが増えていますが、その線引きは薄れ始めています。Kroah-Hartmanはすでに、AI生成パッチで自分自身の実験を行っています。
「本当に愚かなプロンプトを出しました」と彼は振り返った。「『これをくれ』と言ったんです。すると60個出てきました。『見つけた60の問題がこちらです。各問題の修正もこちらです』と。3分の1は間違っていましたが、それでも比較的“現実的な”問題を指摘していて、残りの3分の2のパッチは正しかった。」とはいえ、その動くパッチでも、人間による手直しや、より良いチェンジログ、統合作業がまだ必要でしたが、無用というわけではまったくありませんでした。「ツールは良いんです」と彼は言った。「私たちはこうしたものを無視できません。いま出てきていて、そして良くなっているんです。」
開発者たちは、AIが実際の投稿において果たす役割を、認め始めています。「いくつかのパッチが生成されているのを見ています」とKroah-Hartmanは言った。「それについて、いま“共同開発者タグ”のようなものが付くようになっています。新しい機能のためのものなども見かけますが、AIが主に使われているのは、ほとんどの場合レビューです。」
単純な変更の大部分がAIによって近い将来に作られる状況を想像できるかと聞かれて、彼は「単純な小さなエラー条件について、エラー条件を適切に検出する」といった場合なら、AIはすでに今日でも、実際に使えるパッチを数十件生成できる可能性がある、と答えました。
AI生成のレポートやAI支援の作業が急増したことで、カーネル自身のレビュー基盤にAIを組み込もうという並行した動きも加速しています。その重要な要素が、Sashikoです。これはもともとGoogleで開発されたツールで、現在はLinux Foundationに寄贈されています。
- Nanny stateがLinuxを発見、ブート前に子どものIDをチェックするよう要求
- オープンソース開発者、ダウンロードごとに料金を払わせることを検討
- 仕事熱心なオープンソース開発者は休憩が必要
- 了解、AnthropicのAIがCコンパイラを作った。そこまで驚かない
「私たちは、この種のパッチのうち、こちらの負荷を減らす形で持ち込まれるものについて、簡単にレビューできるようにする必要があります。」そのツールは「ほぼすべてのカーネルのパッチで動いていて、外部に公開されて実行されています」と彼は言った。「公開できます。私たちはそれをレビュー用のツールに統合しています。誰でも使えるようになっています。」
この取り組みは、特定のサブシステム内部での以前の努力の延長線上にあります。「ネットワークやBPFの人たちは、しばらく前からLLMで生成したレビューをやっています」とKroah-Hartmanは言う。「Direct Rendering Manager(DRM)の人たち、そして今はGoogleのツールが、それらを1つの共通インターフェースに取り込んでいます」と彼は説明する。「ストレージについては、ここを見る必要があるものがあります。グラフィックスについては、ここを見る必要があるものがあります。人々はそれを公開の場で貢献していて、それがあるべき姿です。これはとても良いことです。」
Kroah-Hartmanは、AIベースのレビュー・ワークフローの先駆けとして、長年のカーネル開発者で現在MetaにいるChris Masonを挙げました。Masonは、eBPFやネットワーキング向けにしばらく前からAIによるレビューを回しています。systemdプロジェクトも、オールCのコードベースに対して同じ種類のツールを使っています。
AIレビュアーは、権威あるものではなく、追加のものだと彼は強調しました。「レビュー側では、いくつか良いレビューが生成されています。つまり、それで全部が揃うわけではありません。まだ間違っていることもあります。でも、たくさんの“明白なこと”を指摘してくれるんです」と彼は言いました。
最大の即効的な成果の一つは、処理の折り返し時間です。AIレビュアーが明白な問題を指摘すると、提出者は、人間のメンテナが現実的にパッチを読むよりずっと前にフィードバックを受け取れます。「私がそれが何かに反応してくれるのを見れば、メンテナがそのチャンスを得る前より早く提出者にフィードバックが返ってくるので、ありがたいですね」とKroah-Hartmanは言った。「パッチに対して動くボットがすでにいくつかあります。それらが失敗しているのを見れば、メンテナとしてその内容を見る必要すらないとわかります。そして開発者にとっては、『ああ、じゃあ明日別のバージョンを作りに行けばいい』となり、フィードバックが少しでもより良くなる助けになります。」
とはいえ、AI生成のレポートやパッチが増えるにつれて、レビューの負担も増えます。「レビューが増えるんです。カーネルのために、私たちがレビューしなければならない“中身”が増えるんです」と彼は言いました。「だからこそ、OpenSSFとそのAlpha-Omegaプログラムの取り組みが重要なんです。」 「私たちは、この流入してくるフィードをメンテナが扱いやすくし、それに対処しやすくするためのツールを作ろうと取り組んでいます。」
Kroah-Hartmanに繰り返し見られるテーマの一つが、公平なアクセス(エクイティ)です。つい最近までは、潤沢なリソースを持つサブシステムだけが、大規模に重いAIツールを動かす余裕がありました。Googleのレビュー・システムをLinux Foundationのプロジェクトにすることで、それを変えようとしているわけです。
「これは、レビューのために私たちが持っている“この1つのツール”です」と彼は言った。「例として、LFのプロジェクトになった今、私たちは誰にでもアクセスを提供している、ということです。以前は裏側でそれを動かすためのリソースを持っているサブシステムだけでした。今は、それを全員に提供しています。」カーネル自身のインフラだけでなく、より広い範囲で使えるようにする作業はすでに進行中です。
これは重要です。Kroah-Hartmanが繰り返し強調しているように、AIの波は単なるカーネルの問題ではありません。「すべてのオープンソース・プロジェクトには、AIで作られた“本物のレポート”があります」と彼は言った。「私たちの増加は本物で、減速していません。これは大きなことではないかもしれませんが、すべてのオープンソース・プロジェクトのために、この点で助けが必要です。」
Linuxにおいて、AIとの関係はすでに“理論”を越えて“実践”へと移りつつあります。そこには良い面も悪い面もあります。AIは、人間のレビュアーに負荷をかける“新たな本物の脆弱性”の同時発生源である一方で、その負荷の管理にも役立っています。
Kroah-Hartmanや同僚たちの腕の見せどころは、オープンソースのメンテナを溺れさせることなく、AIを“戦力増強装置”として保ち続けることにあるでしょう。®
