Sistem pelaporan bug pada kernel Linux kini menjadi hampir tidak bisa dikelola akibat masifnya tingkat duplikasi temuan dari penggunaan alat kecerdasan buatan (AI). Masalah ini dipicu oleh banyaknya pelapor yang menemukan celah keamanan serupa karena menggunakan basis perkakas AI yang sama, sebagaimana dilansir dari Detik iNET pada Sabtu (23/5/2026).
Kondisi tersebut membuat pencipta Linux, Linus Torvalds, menegaskan bahwa temuan celah keamanan dari kecerdasan buatan tidak lagi layak dikategorikan sebagai rahasia tinggi dalam daftar pelaporan privat. Langkah pengiriman ke daftar privat dinilai memperparah penumpukan laporan karena para penemu bug tidak bisa saling melihat hasil kerja satu sama lain.
"Hanya untuk memperjelas: jika Anda menemukan bug menggunakan alat AI, kemungkinan besar orang else juga telah menemukannya. Memperlakukan temuan tersebut di daftar privat adalah buang-buang waktu bagi semua pihak yang terlibat, dan hanya memperburuk duplikasi karena pelapor tidak bisa melihat laporan satu sama lain," papar Torvalds.
Torvalds menambahkan bahwa tren pelaporan instan saat ini justru lebih banyak menimbulkan pekerjaan sia-sia yang tidak produktif, meskipun alat AI dinilai luar biasa jika benar-benar membantu perkembangan sistem. Kendati demikian, ia tidak sepenuhnya anti terhadap teknologi ini karena beberapa celah krusial seperti eksploitasi "Copy Fail" yang berdampak pada hampir seluruh distro Linux berhasil dideteksi berkat bantuan AI.
Para peneliti keamanan kini diminta untuk tidak sekadar mengirimkan hasil mentah dari kecerdasan buatan tanpa adanya pemahaman mendalam. Torvalds menginginkan kontribusi yang lebih nyata dengan mempelajari dokumentasi serta membuat tambalan sistem.
"Jika Anda benar-benar ingin memberikan nilai tambah, bacalah dokumentasinya, buatlah patch (tambalan) juga, dan tambahkan nilai nyata di atas apa yang dikerjakan oleh AI. Jangan jadi tipe orang yang hanya 'lewat, kirim laporan acak tanpa pemahaman nyata'," tegas Torvalds.
Keluhan mengenai gelombang laporan dari AI ini turut diamini oleh Senior Product Security Engineer GitHub, Jarom Brown. Pihak GitHub menyatakan tidak mempermasalahkan penggunaan AI dalam pelacakan bug, dengan catatan laporan yang dikirimkan harus tervalidasi, bisa direproduksi, serta menyertakan Proof of Concept (PoC) yang berfungsi.
Sebaliknya, keluaran AI mentah tanpa bukti dampak nyata dianggap tidak berguna bagi platform. Validasi dan penelitian yang mendalam dari peneliti keamanan menjadi poin utama yang dinilai tinggi oleh perusahaan dalam program pelaporan celah keamanan ini.
"Satu temuan yang divalidasi dan diteliti dengan baik bernilai lebih dari 10 laporan spekulatif, baik dalam hal pembayaran bounty maupun reputasi. Para peneliti yang paling banyak mendapatkan bayaran dari program kami adalah mereka yang menggali lebih dalam, bukan yang mengutamakan volume," pungkas Brown.
