Linus Torvalds ha perso la pazienza. Nel suo post settimanale sullo stato del kernel, pubblicato il 17 maggio 2026 insieme all’annuncio di Linux 7.1-rc4, il creatore di Linux ha descritto la mailing list privata di sicurezza del kernel come “quasi completamente ingestibile”. La causa è una cosa sola: il diluvio di bug report generati con strumenti di intelligenza artificiale.
ADS
Hai 60 secondi? Ascolta il riassunto audio.
Linus Torvalds e il problema dei duplicati IA
Il meccanismo è semplice da capire. Decine di ricercatori usano gli stessi strumenti di AI per analizzare lo stesso codice, trovano gli stessi bug, e li segnalano tutti separatamente sulla lista privata di sicurezza. Risultato: i manutentori del kernel passano la giornata a rispondere “questo bug è già stato fixato un mese fa” o a smistare segnalazioni verso le persone giuste, invece di lavorare sul codice.
“Le persone passano tutto il tempo a girare le cose alle persone giuste o a dire che era già stato fixato una settimana o un mese fa”, ha scritto Torvalds sul kernel mailing list. Il volume è cresciuto in modo impressionante: due anni fa la lista di sicurezza riceveva due o tre segnalazioni a settimana. Oggi ne arrivano da cinque a dieci al giorno.
Cosa ha cambiato Linux nella gestione dei bug report IA
Il progetto ha aggiornato la documentazione ufficiale di sicurezza per affrontare il problema. Le nuove regole sono chiare: i bug trovati con strumenti di intelligenza artificiale vanno trattati come pubblici per default, perché “emergono sistematicamente in modo simultaneo tra più ricercatori, spesso nello stesso giorno”. Mandarli sulla lista privata ha senso zero: i ricercatori non possono vedere i report degli altri e la duplicazione peggiora.
ADS
La lista privata resta riservata a vulnerabilità urgenti, facilmente sfruttabili, che danno a un attaccante capacità inattese su un sistema di produzione configurato correttamente. Non a qualsiasi cosa trovata da uno scanner automatico.
Linus Torvalds non è contro l’IA, ma contro il copia-incolla
Il punto che Linus Torvalds tiene a chiarire è che non vuole bandire gli strumenti di AI dallo sviluppo del kernel. Il problema è come vengono usati. “Se hai trovato un bug con strumenti IA, ci sono buone probabilità che qualcun altro lo abbia già trovato. Se vuoi aggiungere valore, leggi la documentazione, crea anche una patch, e aggiungi qualcosa di reale sopra a quello che ha fatto l’IA.”
In pratica: trova il bug, capiscilo davvero, scrivi la patch, poi segnala. Non fare il “drive-by”, cioè mandare una segnalazione generata automaticamente senza averla capita. È esattamente quello che fa Greg Kroah-Hartman, il secondo in comando del kernel, con il suo sistema “Clanker T1000”: trova il bug, scrive il fix, lo invia pubblicamente con la patch già pronta.
Il lato ironico della storia
C’è qualcosa di paradossale in tutta questa vicenda. Gli strumenti di intelligenza artificiale vengono usati per trovare vulnerabilità di sicurezza nel codice, ma il risultato pratico è che i manutentori del kernel hanno meno tempo per occuparsi della sicurezza reale, perché sono sommersi da segnalazioni inutili. L’AI usata male produce più rumore che segnale, e in un progetto critico come il kernel Linux il rumore ha un costo concreto per tutti.
Perché ti dovrebbe interessare?
Perché Linus Torvalds sta descrivendo un problema che riguarda tutto lo sviluppo software open source, non solo Linux. Quando gli strumenti di AI diventano accessibili a tutti, il rischio non è che trovino troppi bug: è che li trovino tutti contemporaneamente, senza che nessuno si prenda la responsabilità di capirli e risolverli davvero.
ADS
ADS
Commento all'articolo