Крупнейшие технологические компании США направили 12,5 миллионов долларов на помощь сопровождающим проектов с открытым исходным кодом, сообщает The Register со ссылкой на объявление некоммерческого консорциума Linux Foundation.
Сопровождающим, или специалистам, которые поддерживают, обновляют и исправляют программное обеспечение, с распространением инструментов искусственного интеллекта стало значительно сложнее выполнять свою работу качественно: генерация отчётов об ошибках с помощью больших языковых моделей занимает минуты, тогда как их ручная проверка может требовать многих часов.
«По мере усложнения ландшафта кибербезопасности достижения в области искусственного интеллекта радикально увеличивают скорость и масштабы обнаружения уязвимостей в открытом ПО, — отмечается в заявлении Linux Foundation, посвящённом этой инициативе. — Сопровождающие столкнулись с беспрецедентным объёмом сообщений о проблемах безопасности, многие из которых созданы автоматизированными системами, но у них нет достаточных ресурсов или инструментов для их эффективной обработки и устранения».
Среди компаний, внесших свой вклад, — Anthropic, Amazon Web Services, GitHub, Google, Microsoft и OpenAI. Реализацию инициативы поручили участникам проекта Alpha-Omega и организации Open Source Security Foundation (OpenSSF).
Миссия проекта Alpha-Omega заключается в содействии устойчивому повышению уровня безопасности в критически важных проектах и экосистемах с открытым кодом. Open Source Security Foundation, являющаяся частью Linux Foundation, была создана для консолидации усилий представителей отрасли по укреплению безопасности открытого программного обеспечения.
Как подчёркивает The Register, эти две структуры «работают напрямую с сопровождающими и сообществами, чтобы сделать новые возможности в сфере безопасности доступными, практичными и совместимыми с существующими рабочими процессами в проектах».
«Эти усилия будут способствовать выработке устойчивых стратегий, которые помогут разработчикам удовлетворять растущие требования безопасности, укрепляя общую устойчивость экосистемы открытого исходного кода», — говорится в заявлении Linux Foundation.
В объявлении также приведён комментарий Грега Кроа-Хартмана (Greg Kroah Hartman), одного из ведущих разработчиков ядра Linux, отражающий его взгляд на проблему и пути её решения: «Само по себе грантовое финансирование не решит проблему, которую сегодня создают ИИ-инструменты для команд, отвечающих за безопасность проектов с открытым кодом […] У OpenSSF есть действующие ресурсы, необходимые для поддержки широкого круга проектов, которые помогут этим перегруженным сопровождающим в обработке и сортировке растущего потока отчётов о безопасности, создаваемых искусственным интеллектом».
Конкретные направления расходования грантовых средств и детали будущей работы участников инициативы в Linux Foundation не раскрываются.
Для сопровождающих open-source проектов проблема бесконечного потока автоматически сгенерированных ИИ-отчетов об ошибках уже не является неожиданной.
Например, в декабре 2024 года Сет Ларсон (Seth Larson) из Python Software Foundation, курирующей развитие одноименного языка, открыто призвал сообщество не применять искусственный интеллект для поиска дефектов в коде. Он также отметил резкий рост числа крайне некачественных баг-репортов, которые зачастую являются результатом «галлюцинаций» больших языковых моделей (LLM).
В январе 2026 года создатель чрезвычайно популярной open-source утилиты cURL Даниэль Стенберг (Daniel Stenberg) прекратил программу вознаграждений за обнаружение уязвимостей (Bug Bounty), которая работала на платформе HackerOne с 2019 года. Это решение было призвано уменьшить поток желающих получить «быстрые деньги» с помощью ИИ и снизить общий уровень бесполезного информационного шума.
Как отметил руководитель проекта, из 415 отчетов об уязвимостях в cURL, поступивших к разработчикам к началу 2024 года, лишь 64 описывали реальные угрозы безопасности. Еще 77 содержали полезную информацию о некритичных ошибках, не влияющих напрямую на безопасность. Остальные — около 66% от общего числа — оказались абсолютно бесполезными. При этом каждый из них потребовал ручной проверки, поскольку просто проигнорировать подобные сообщения было бы не только непрофессионально, но и рискованно.
