Betanewsは2026年5月18日(現地時間)、「Torvalds warns AI bug reports are killing Linux security work」において、Linuxカーネル開発をけん引するLinus Torvalds氏が、AI生成の脆弱性報告の急増によってLinuxカーネルの非公開セキュリティメーリングリスト運営に深刻な支障が生じていると警告したことを伝えた。

同氏はAIを活用すること自体は否定していないが、報告前に内容を精査して動作確認を行うことや、修正内容の提案を伴う報告をするなどの改善を呼びかけている。

  • Linus Torvalds氏は、AI生成バグ報告の急増によってLinuxの非公開セキュリティML運営が「ほぼ管理不能」になっていると警告した

    Linus Torvalds氏は、AI生成バグ報告の急増によってLinuxの非公開セキュリティML運営が「ほぼ管理不能」になっていると警告した

非公開メーリングリストがほぼ管理不可能な状況に

Linus Torvalds氏は、Linux 7.1の第4リリース候補版(7.1-rc4)に関するLinuxカーネルメーリングリストへの投稿の中で、最近の非公開セキュリティメーリングリストの運営に関する問題提起を行った。同氏によれば、近年の生成AIの普及に伴って、AIで生成されたバグ報告が絶え間なく寄せられるようになり、リストの運営がほぼ管理不可能な状況に陥っているという。

この問題はLinux 7.0のリリース候補版の開発期間中に表面化した。当時は軽微な内容が多く、リリース延期には至らなかったが、Linux 7.1の段階ではそれがきわめて深刻な状況にまで発展したということだ。

AI生成バグ報告が大量重複

問題の本質は非公開メーリングリストの構造に起因しているという。複数の研究者が同じAIツールを使用して同じコードベースを調査した結果、同じ欠陥を個別に発見して報告する。非公開リストでは報告者同士はお互いの投稿を確認できないので、同一の不具合でも、それぞれが独自に報告することになる。その結果、メンテナーは作業時間の大半を、報告の転送や、「対応済み」と説明することに費やさなければならない。

Torvalds氏は、AIツールで発見されたバグは、定義上は秘密ではないと主張する。誰でも同じツールを使えば同じ脆弱性を発見できるからだ。したがって、それを非公開のセキュリティ問題として扱うのは的外れで、重複問題を悪化させるだけだという。

Linuxコミュニティが報告ルールを見直し

Torvalds氏やメンテナーは、AIの利用そのものを否定しているわけではない。事実、LinuxコミュニティはAI支援で生成されたコードも受け入れている。ただし、投稿者本人が品質や不具合への責任を負うことがその条件だ。

今回の混乱を受け、Linux 7.1では脆弱性の報告手順に関する文書が改訂された。新文書では、AI支援によって低品質な報告が増加している状況を説明した上で、非公開リストに送るべき報告の対象を「正しく構成された本番環境上で、攻撃者に不正に権限を付与し、大規模な悪用が容易な緊急性の高い脆弱性」に限定した。

この条件を満たさない場合は、非公開リストへの報告ではなく、公開されたバグ報告プロセスで議論することが求められる。条件を満たして提出が認められる場合でも、最新のカーネルでの検証や、再現手順の明記など、ドキュメントには特定の要件が定められている。

Torvalds氏はバグ報告者に対して、真に価値を提供したいのであれば、ドキュメントを読み、問題を正しく理解し、レポートとともにパッチを提出すべきだと呼びかけている。