Linus Torvalds, tokoh di balik terciptanya Linux, baru-baru ini mengungkapkan kekesalannya terhadap fenomena penggunaan kecerdasan buatan (AI). Ia merasa kewalahan menghadapi lonjakan laporan celah keamanan atau bug yang dihasilkan secara otomatis oleh alat-alat AI.

Masalah ini muncul karena sistem pelaporan keamanan Linux kini dipenuhi oleh data yang repetitif dan sulit dikelola. Penggunaan alat AI yang serupa oleh banyak pihak menyebabkan temuan bug yang sama dilaporkan berkali-kali secara masif.

Torvalds menilai bahwa laporan yang bersumber dari AI tidak seharusnya lagi dikategorikan sebagai rahasia atau dimasukkan dalam daftar pelaporan privat. Menurutnya, memperlakukan temuan tersebut secara tertutup justru membuang-buang waktu bagi tim pengembang.

Kondisi ini diperparah karena para pelapor tidak bisa saling melihat laporan satu sama lain dalam sistem privat. Akibatnya, tim pengembang harus memeriksa masalah yang sama berulang kali tanpa adanya efisiensi kerja.

Kritik Terhadap Laporan Instan Tanpa Nilai Tambah

Meskipun AI memiliki potensi besar, Torvalds menganggap tren pelaporan instan saat ini justru lebih banyak memicu pekerjaan sia-sia. Ia tidak sepenuhnya menolak AI, namun ia mengkritik cara orang menggunakannya secara sembarangan.

Beberapa celah keamanan besar, seperti eksploitasi "Copy Fail", memang sempat terdeteksi berkat bantuan teknologi cerdas ini. Namun, Torvalds meminta agar para peneliti keamanan tidak sekadar mengirimkan hasil mentah dari mesin tanpa pemahaman mendalam.

Harapan Linus Torvalds bagi para pelapor bug keamanan:

• Pelapor diharapkan membaca dokumentasi secara menyeluruh sebelum mengirimkan temuan.
• Mengirimkan laporan yang sudah disertai dengan patch atau solusi tambalan untuk celah tersebut.
• Memberikan nilai tambah nyata dan tidak hanya sekadar meneruskan data acak dari AI.
• Memahami konteks masalah secara mendalam dan bukan hanya menjadi perantara informasi.

Instruksi ini bertujuan agar kualitas laporan yang masuk ke tim pengembang tetap terjaga. Dengan begitu, energi tim dapat difokuskan pada perbaikan sistem daripada sekadar memilah ribuan data duplikat.

Dukungan dari Pihak GitHub

Senada dengan Torvalds, Jarom Brown selaku Senior Product Security Engineer di GitHub juga merasakan tantangan yang sama. Ia menyatakan bahwa pihaknya tidak anti terhadap AI selama laporan yang masuk telah divalidasi dengan benar.

Bagi GitHub, sebuah laporan dianggap berkualitas jika temuan AI tersebut dapat dibuktikan kembali dan memiliki bukti konsep atau Proof of Concept (PoC). Laporan mentah tanpa bukti dampak nyata dianggap tidak berguna bagi ekosistem pengembangan perangkat lunak.

Perbandingan antara laporan berkualitas dan laporan spekulatif:

Tabel di atas menunjukkan bahwa kualitas jauh lebih penting daripada kuantitas dalam hal pelaporan celah keamanan. Para peneliti yang melakukan penggalian informasi lebih dalam biasanya akan mendapatkan apresiasi dan pembayaran yang lebih besar.

Brown menegaskan bahwa para peneliti keamanan profesional adalah mereka yang mengutamakan kedalaman riset. Volume laporan yang besar dari AI tidak akan membantu jika tidak dibarengi dengan pemahaman teknis yang kuat dari pengirimnya.