Hopp til hovedinnhold
 AI-nyheter, ferdig filtrert for ledere
hogby.ai
SISTE:

Anthropic: AI fant over 10.000 alvorlige sårbarheter • Reuters: AI-feil i retten gir advokater karriererisiko • CNBC: GitHub svikter under presset fra AI-koding

AI-feilrapporter gjør Linux-sikkerhet nesten uhåndterlig
CIOCISOStyreAI SecurityOpen SourceLinuxSoftware Supply Chain

AI-feilrapporter gjør Linux-sikkerhet nesten uhåndterlig

JH
Joachim Høgby
18. mai 202618. mai 20264 min lesingKilde: The Verge
Del
LinkedInXFacebookE-postWhatsAppTelegram

Linux-skaper Linus Torvalds har satt ord på et problem flere sikkerhetsmiljøer kommer til å møte hardere i år: AI-verktøy gjør det billig å finne og sende inn mulige sårbarheter, men ikke nødvendigvis billigere å håndtere dem.

I en statusmelding for Linux 7.1-rc4 skrev Torvalds at «the continued flood of AI reports» har gjort sikkerhetslisten «almost entirely unmanageable». Årsaken er ikke at alle funnene er verdiløse. Problemet er mengden duplikater, rapporter uten patch og funn sendt inn av personer som ikke selv har validert hva verktøyet har produsert.

The Verge løftet saken mandag, med lenke til Torvalds' opprinnelige melding på Linux Kernel Mailing List. Der er tonen typisk Torvalds: AI-verktøy kan være nyttige, men bare når de faktisk hjelper. Hvis et verktøy finner en bug, er sjansen stor for at andre finner samme bug med samme type verktøy. Da blir en privat sikkerhetsliste fort et sted der vedlikeholdere bruker tid på å videresende, avvise og forklare at saken allerede er offentlig diskutert.

Dette er en viktig korreksjon i AI-sikkerhetsdebatten. De siste månedene har mye oppmerksomhet gått til modeller som kan finne sårbarheter raskere. Det er reelt. Men Linux-saken viser baksiden: Når kostnaden ved å produsere et sårbarhetsvarsel nærmer seg null, flyttes kostnaden over på mottakeren.

For norske virksomheter betyr det at AI-basert sikkerhetsarbeid ikke kan måles i antall rapporter alene. En leverandør som lover tusenvis av funn, kan i praksis levere mer støy enn sikkerhet hvis funnene ikke er reprodusert, prioritert og koblet til konkret utbedring.

Torvalds peker på en enkel standard: Les dokumentasjonen, lag en patch og legg faktisk verdi på toppen av det AI-en gjorde. Det er også en god innkjøpsregel. CISO-er bør spørre om AI-verktøyet leverer validerte funn med bevis, test, påvirkning og anbefalt fix, eller bare sender videre sannsynlige svakheter.

GitHub har vært inne på samme spor. I en egen tekst om bug bounty-kvalitet skriver GitHubs sikkerhetsmiljø at AI-assisterte funn kan være gode når de er verifisert, reprodusert og levert med fungerende proof of concept. Uvaliderte outputs sendt inn som de er, er derimot ikke nyttige. Ett godt undersøkt funn er mer verdt enn ti spekulative rapporter.

Det bør treffe både sikkerhetsbudsjetter og leverandørkontrakter. Når AI brukes til sårbarhetsjakt, må avtalene si hvem som eier triage-kostnaden. De må kreve deduplisering, risikoklassifisering, sporbarhet til kodeversjon, forslag til patch og klare krav til når et funn regnes som bekreftet.

Det samme gjelder interne utviklingsmiljøer. Hvis alle team får tilgang til AI-verktøy som kan rapportere sikkerhetsfunn, må organisasjonen ha en inntaksmodell. Ellers kan sikkerhetsavdelingen drukne i godt ment, dårlig validert støy. Det er ikke et argument mot AI i sikkerhet. Det er et argument mot å slippe AI inn i prosessen uten portvakter.

Den praktiske lederkonsekvensen er ganske nøktern: AI øker farten i begge ender av sikkerhetsarbeidet. Den kan finne mer. Den kan også skape mer kø. Forskjellen ligger i prosess, eierskap og krav til kvalitet før noe lander på en menneskelig kø.

For styrer og CIO-er er spørsmålet derfor ikke om AI skal brukes til sårbarhetsjakt. Det kommer den til å bli. Spørsmålet er om selskapet har en modell som skiller reelle risikofunn fra maskinprodusert køfyll. Hvis ikke, blir «AI-sikkerhet» fort enda et område der automatisering flytter arbeid, i stedet for å fjerne det.

Kilder og medier

  • Hovedkilde: The Verge, «Linus Torvalds says Linux security list is becoming ‘unmanageable’ due to AI bug reports», publisert 18. mai 2026: https://www.theverge.com/tech/932312/linus-torvalds-linux-ai-security-bugs
  • Primærkilde: Linus Torvalds, «Linux 7.1-rc4», Linux Kernel Mailing List, 17. mai 2026: https://lkml.org/lkml/2026/5/17/896
  • Bakgrunn: GitHub Blog, Jarom Brown, «Raising the bar: quality, shared responsibility, and the future of GitHub’s bug bounty program»: https://github.blog/security/raising-the-bar-quality-shared-responsibility-and-the-future-of-githubs-bug-bounty-program/
  • Thumbnail: OpenAI Image 2 / hogby.ai

📬 Likte du denne?

AI-nyheter for ledere. Kuratert av en CIO som bygger det selv. Daglig i innboksen.

Relaterte saker

Paven gjør AI til samvittighetssak – og advarer mot makten til de få
CIOCISOStyre

Paven gjør AI til samvittighetssak – og advarer mot makten til de få

Pave Leo XIV brukte sin første encyklika på kunstig intelligens. Budskapet om at teknologiselskapenes makt kan måle seg med statenes, treffer rett inn i styrerommenes debatt om etikk og leverandørrisiko.

25. mai 20265 min lesing
CBS News
Åpne saken
The Pope makes AI a matter of conscience – and warns about the power of the few
CIOCISOBoard

The Pope makes AI a matter of conscience – and warns about the power of the few

Pope Leo XIV devoted his first encyclical to artificial intelligence. The warning that tech companies' power can rival that of governments lands directly in the boardroom debate over ethics and vendor risk.

25. mai 20265 min lesing
CBS News
Åpne saken
Anthropic varsler første overskudd – og passerer OpenAI i verdi
CIOCFOCISO

Anthropic varsler første overskudd – og passerer OpenAI i verdi

Anthropic forteller investorer at de venter et driftsoverskudd på 559 millioner dollar i andre kvartal, samtidig som selskapet lukker en runde til over 900 milliarder dollar. Det rykker forbi OpenAI.

25. mai 20265 min lesing
CNBC
Åpne saken