L’esplosione degli strumenti di vulnerability detection basati su intelligenza artificiale sta iniziando a produrre effetti concreti e problematici sull’intero ecosistema open source e cybersecurity. Progetti storici come il kernel Linux, piattaforme di bug bounty e maintainer open source stanno affrontando un’ondata crescente di segnalazioni automatiche generate da sistemi AI, con un forte aumento di duplicati, falsi positivi e report di qualità insufficiente che stanno mettendo sotto pressione i tradizionali processi di gestione delle vulnerabilità.
Linus Torvalds ha recentemente criticato pubblicamente l’attuale modello di gestione delle vulnerabilità del kernel Linux, definendolo quasi ingestibile a causa dell’incremento delle segnalazioni automatiche generate tramite AI. Secondo quanto emerso, una parte crescente dei report ricevuti attraverso la Linux Kernel Mailing List riguarderebbe vulnerabilità duplicate o bug già noti individuati da più ricercatori utilizzando gli stessi strumenti di analisi automatizzata sulle medesime porzioni di codice.
Il problema nasce dal fatto che i moderni sistemi AI per cybersecurity abbassano drasticamente le barriere di accesso alla vulnerability research. Strumenti avanzati come Mythos di Anthropic o altre piattaforme AI-assisted consentono di effettuare scansioni massive del codice sorgente e identificare potenziali flaw in tempi estremamente ridotti rispetto ai workflow tradizionali di auditing manuale. Questo aumenta la capacità di individuazione delle vulnerabilità, ma contemporaneamente moltiplica anche il numero di segnalazioni ridondanti e di falsi positivi.
Il Linux Kernel Project ha quindi formalizzato nuove linee guida specifiche per le vulnerabilità individuate tramite AI. Le segnalazioni automatiche non dovranno più transitare esclusivamente attraverso canali privati di sicurezza, ma essere inviate pubblicamente ai maintainer competenti con test riproducibili, proof-of-concept verificabili e descrizioni concise. L’obiettivo è ridurre il tempo speso nella validazione di report duplicati e aumentare la trasparenza del processo di triage.
Secondo diversi maintainer storici del kernel, il volume operativo sta crescendo rapidamente. Sviluppatori come Greg Kroah-Hartman e Willy Tarreau, maintainer di HAProxy, avrebbero segnalato un incremento drastico del numero di vulnerability report ricevuti quotidianamente. In alcuni casi si sarebbe passati da poche segnalazioni settimanali a decine di report al giorno, molti dei quali riconducibili ad analisi automatiche AI-driven prive di reale comprensione contestuale del codice.
Torvalds ha inoltre criticato apertamente il fenomeno dei “drive-by AI reports”, cioè segnalazioni generate automaticamente senza reale comprensione architetturale del software analizzato. La richiesta del progetto Linux è sempre più orientata verso contributi concreti come patch, fix verificabili e debugging contestuale, piuttosto che semplici dump automatici di possibili anomalie rilevate da modelli AI.
Il problema si sta estendendo rapidamente anche all’industria globale dei bug bounty. Bugcrowd
avrebbe registrato un aumento quadruplicato del volume delle segnalazioni in poche settimane, ma gran parte dei report sarebbe risultata costituita da vulnerabilità inesistenti o analisi di bassa qualità. Anche piattaforme e progetti open source stanno iniziando a sospendere temporaneamente i programmi bounty per contenere il sovraccarico operativo.
curl ha sospeso il proprio programma bug bounty già all’inizio dell’anno. Daniel Stenberg ha descritto il continuo flusso di report AI-generated come un peso mentale significativo per i maintainer del progetto. Anche Nextcloud ha temporaneamente interrotto il proprio programma di ricompense dopo un forte aumento di segnalazioni considerate inutilizzabili o scarsamente validate.
Il settore cybersecurity sta quindi entrando in una nuova fase in cui l’automazione offensiva e difensiva basata su AI modifica direttamente l’economia dei bug bounty. Da un lato, i ricercatori esperti possono utilizzare l’intelligenza artificiale per accelerare vulnerability research, reverse engineering e code auditing. Dall’altro, la riduzione delle competenze necessarie per produrre report automatici sta creando una saturazione operativa che rischia di rallentare proprio i processi di sicurezza che l’AI dovrebbe migliorare.
Per reagire, molte piattaforme stanno iniziando a utilizzare AI contro AI. HackerOne ha introdotto sistemi automatici di filtering e validazione basati su machine learning per analizzare l’enorme quantità di segnalazioni ricevute. Secondo i dati emersi, il numero totale di report sarebbe aumentato del 76% nell’ultimo anno, mentre soltanto una minoranza delle segnalazioni risulterebbe effettivamente valida.
Nonostante le criticità, il settore non considera realistico vietare completamente l’uso dell’AI nella vulnerability research. La percezione crescente è che l’intelligenza artificiale diventerà inevitabilmente parte integrante della sicurezza offensiva e difensiva, ma che sarà necessario ridefinire completamente workflow, validazione tecnica, responsabilità dei ricercatori e sistemi di triage per evitare che l’automazione finisca per compromettere la sostenibilità operativa dell’ecosistema open source e dei programmi di sicurezza collaborativa.