A proliferação de bugs de IA no Linux tornou a lista privada de segurança do kernel “quase totalmente incontrolável”. O alerta é de Linus Torvalds que aponta a duplicação massiva de relatórios produzidos com ferramentas de inteligência artificial como a principal causa do problema. A situação está a forçar uma revisão profunda dos processos de segurança do kernel Linux.
Bugs de IA no Linux bloqueiam a lista de segurança
O problema não está na IA em si, mas na forma como várias pessoas a utilizam ao mesmo tempo para descobrir as mesmas vulnerabilidades Linux. Porque a lista privada não permite que os investigadores vejam as submissões uns dos outros, a duplicação acumula-se sem que ninguém o perceba antes de causar dano. O resultado é que os programadores responsáveis gastam tempo a redirecionar relatórios já conhecidos ou a apontar correções feitas há semanas.
Torvalds foi direto sobre o que espera de quem usa IA para encontrar falhas no kernel Linux: “Se queres acrescentar valor, lê a documentação, cria também um patch e adiciona algo real ao que a IA fez. Não sejas a pessoa que envia um relatório aleatório sem compreensão real do problema.”
Nova documentação de segurança do kernel Linux
Em resposta à situação, o projeto Linux integrou nova documentação de segurança no ciclo 7.1-rc4, da autoria do programador Willy Tarreau. O documento define, com maior clareza, o que qualifica como um bug de segurança e como tratar relatórios produzidos com IA.
A orientação central é direta: os bugs de IA no Linux devem ser considerados informação pública, porque surgem sistematicamente em vários investigadores ao mesmo tempo. A lista privada fica reservada para vulnerabilidades Linux urgentes que concedam a um atacante capacidades que não deveria ter num sistema de produção corretamente configurado.
A nova documentação eleva também os critérios de qualidade para as submissões destinadas à segurança do kernel Linux: os relatórios devem ser concisos, escritos em texto simples, focados em impacto verificado e acompanhados de um reprodutor testado. Especulação e cenários hipotéticos sem prova não são aceites.
IA já não produz apenas vulnerabilidades Linux de baixa qualidade
Em março, Greg Kroah-Hartman, um dos principais responsáveis pelo kernel, reconheceu que os relatórios assistidos por IA deixaram de ser apenas ruído para incluírem descobertas reais e relevantes. “Algo mudou há um mês, e o mundo mudou. Agora temos relatórios reais”, disse ao The Register, acrescentando que outros projetos open source registavam a mesma tendência.
Esse salto de qualidade é bem ilustrado pela CVE-2026-31431, conhecida como “Copy Fail”, uma vulnerabilidade de elevação local de privilégios com nove anos de existência no subsistema criptográfico do kernel Linux, detetada com recurso a IA em cerca de uma hora e que afetou múltiplas distribuições. O CERT-EU e a Microsoft emitiram alertas sobre a falha.
Segurança open source sob pressão crescente
O caso do Linux pode definir um precedente para outros projetos open source que gerem canais de reporte público e privado. À medida que as ferramentas de IA se tornam mais capazes, o volume de descobertas de vulnerabilidades Linux tende a crescer, e com ele a pressão sobre as equipas de desenvolvimento e resposta a incidentes.
A resposta do Linux é clara: aceitar o contributo da IA, mas exigir que venha acompanhado de rigor técnico, compreensão do problema e, quando possível, uma proposta de correção. No setor da segurança do kernel Linux e do open source, o desafio já não é descobrir vulnerabilidades em escala. É gerir essa escala sem perder eficácia.
Outros artigos interessantes:
