Linus Torvalds Yapay Zeka Destekli Hata Raporlarına Sert Çıktı: Linux Güvenlik Listeleri Kilitlendi
Linux çekirdeğinin geliştirilmesine liderlik eden Linus Torvalds, AI raporları yüzünden güvenlik e-posta listesinin adeta çöktüğünü duyurdu. 17 Mayıs 2026 tarihli haftalık çekirdek durum güncellemesinde konuşan Torvalds, listenin “nereyse tamamen yönetilemez” hale geldiğini söyledi. Sebep oldukça netti: farklı araştırmacıların aynı yapay zeka araçlarıyla aynı hataları bulup özel listeye bildirmesi.
Günde 10 Rapora Çıkan Yoğunluk Sistemi Tıkadı
Linux çekirdek ekibinden Willy Tarreau’nun mart ayında paylaştığı rakamlar sorunun boyutunu gözler önüne seriyor. İki yıl önce haftada iki ila üç rapor alan güvenlik listesi, bugün günde beş ila on bildirimle karşı karşıya. Üstelik gelen raporların büyük bölümü birbirinin aynısı. Torvalds, bakımcıların zamanlarını “bu hata bir hafta önce düzeltildi” diyerek eski bağlantıları paylaşmakla geçirdiğini belirtti. Yaşananları “tamamen anlamsız bir patinaj” olarak nitelendirdi.
Özel Listeden Herkese Açık Bildirime Geçiş
Torvalds’ın tepkisi yalnızca serzenişten ibaret değildi. Linux 7.1-rc4 sürümüyle birlikte gelen yeni belgelendirme, AI araçlarıyla bulunan açıkların özel güvenlik listesine değil, doğrudan ilgili bakımcılara herkese açık şekilde bildirilmesini zorunlu kıldı. Gerekçe basitti: Yapay zeka ile tespit edilen hatalar doğası gereği gizli değil. Aynı açığı onlarca kişi aynı gün içinde bulabiliyor. Torvalds’ın ifadesiyle, “AI araçları harika, ama yalnızca gerçekten yardımcı olduklarında. Gereksiz acı ve anlamsız sahte iş çıkardıklarında değil.”
Torvalds’tan Araştırmacılara Net Çağrı
Linux’un yaratıcısı, güvenlik araştırmacılarına somut bir yol haritası sundu. “Eğer gerçekten değer katmak istiyorsanız, belgeleri okuyun, bir yama hazırlayın ve AI’ın yaptığının üzerine bir şeyler koyun. Ne yaptığını anlamadan rastgele rapor gönderen kişi olmayın” diyen Torvalds, topluluğa sorumluluk çağrısı yaptı. Bu yaklaşım, çekirdek bakımcısı Greg Kroah-Hartman’ın “Clanker T1000” sistemiyle birebir örtüşüyor: hatayı bul, düzeltmeyi yaz, yamanın sorumluluğunu üstlen ve herkese açık şekilde gönder.
cURL ve Nextcloud da Aynı Yoldan Geçti
Linux ekosistemindeki bu tıkanıklık, açık kaynak dünyasında bir ilk değil. Ocak 2026’da internetin en popüler komut satırı araçlarından cURL, HackerOne üzerindeki hata ödül programını tamamen sonlandırdı. cURL’ün yaratıcısı Daniel Stenberg, kararı “hiç bitmeyen AI çöpü” olarak gerekçelendirdi ve bu raporları ayıklamanın ciddi bir zihinsel yük oluşturduğunu söyledi. Nisan ayında ise Nextcloud, düşük kaliteli raporlardaki büyük artış nedeniyle ödül programını askıya aldığını duyurdu.
HackerOne’ın verileri tablonun ne kadar vahim olduğunu kanıtlıyor. Platforma yapılan başvurular mart ayı itibarıyla yıllık bazda yüzde 76 arttı. Ancak gerçek açık bildiren raporların oranı yüzde 25’te sabit kaldı. Bugcrowd ise yalnızca üç haftalık bir dönemde rapor sayısının dört katına çıktığını, çoğunun yanlış pozitif olduğunu bildirdi. Sophos CIO’su Ross McKerchar, deneyimli yapay zeka geliştiricilerinin uçtan uca tarama ve gönderim sistemleri kurduğunu, bunun “tam bir kaos” yarattığını söyledi.
Yapay Zeka Silah Değil Araç Olmalı
Torvalds’ın son uyarısı aslında bir yasaklama çağrısı değil. Kendisi de AI araçlarının doğru kullanıldığında harika sonuçlar verdiğini kabul ediyor. Ancak otomatik tarama yapıp sonuçları anlamadan güvenlik listelerine yağdırmak, açık kaynak bakımcılarını gerçek tehditlerden uzaklaştırıyor. GitHub Kıdemli Ürün Güvenlik Mühendisi Jarom Brown da araştırmacıları derinliğe yönelmeye çağırdı: “Doğrulanmış, yeniden üretilmiş ve çalışan bir kavram kanıtıyla gelen tek bir bulgu, spekülatif on rapordan daha değerli.”
Linux çekirdeği şimdilik önlemini aldı: AI ile bulunan açıklar herkese açık bildirilecek, raporlar sade ve düz metin formatında olacak, yeniden üretilebilir kanıt içerecek. Açık kaynak topluluğu bu krizden ders çıkarırken, gözler diğer büyük projelerin atacağı adımlara çevrilmiş durumda. Teknoloji Haberleri - hedefbilgitoplumu.com
