En mayo de 2026, durante el ciclo de desarrollo de Linux 7.1-rc4, Linus Torvalds rompió su habitual silencio sobre la lista de seguridad privada del núcleo. Sus comentarios fueron breves y brutales: la lista se había vuelto “casi totalmente inmanejable”.
La causa identificada: una avalancha de informes de vulnerabilidades generados por la IA, masivamente duplicados. Varios investigadores o herramientas automatizadas encontrando los mismos fallos potenciales con las mismas herramientas, informando de lo mismo sin coordinación ni validación previa.
Se trata de un caso documentado y verificable. No es un caso aislado. Y merece ser leído despacio, sin reducirlo ni un ápice.
What happened, exactly
La lista de seguridad privada del núcleo Linux es el lugar donde los investigadores de seguridad informan de las vulnerabilidades antes de que se hagan públicas. Es un mecanismo de divulgación responsable: se encuentra una vulnerabilidad, se informa de ella a los mantenedores, ellos la corrigen y luego se publica. Este proceso protege a los usuarios durante el periodo de corrección.
El problema se denunció en mayo de 2026: varios actores independientes utilizaron herramientas de análisis estático o auditoría de código basadas en LLM para analizar el código del kernel. Estas herramientas identificaron los mismos patrones de vulnerabilidades potenciales. Varias de ellas fueron notificadas en paralelo, por distintas personas, sin comprobar que el fallo era real o que no había sido ya notificado.
El resultado: una lista privada inundada de informes, de los que sólo una mínima parte corresponden a vulnerabilidades reales, y muchos de ellos son duplicados. Para los encargados voluntarios del mantenimiento de la seguridad del núcleo, cada informe tiene que ser leído, evaluado y clasificado.
The Steelman: AI also finds real bugs
El matiz es importante, y los propios mantenedores lo han señalado. La IA no sólo genera ruido. Estas herramientas automatizadas han encontrado vulnerabilidades reales. Errores que podrían haber pasado desapercibidos durante años han sido identificados gracias al análisis estático a gran escala.
Este es el progreso honesto que hay que reconocer. Las herramientas de análisis basadas en IA tienen una capacidad real para escanear en profundidad grandes bases de código, con una cobertura que un humano no puede lograr manualmente. Eso es una ganancia.
El problema no es la IA en la auditoría de seguridad. El problema es el uso sin filtrado, sin validación, sin coordinación. La IA reduce el coste de encontrar fallos potenciales. No reduce, incluso aumenta, el coste de validarlos si nadie asume la responsabilidad de este paso.
Los mantenedores del kernel señalan que aunque algunos informes generados por IA identifican problemas reales, la mayoría son falsos positivos o duplicados de duplicados de problemas ya conocidos. El volumen ha hecho que la clasificación sea “casi totalmente inmanejable”.
Lo que ilustra este caso: el coste externalizado
Este es el ángulo que la mayoría de los análisis pasan por alto. La IA que genera informes de seguridad en una cadena transfiere un coste. Reduce el coste para la persona que genera los informes. Aumenta el coste para quienes tienen que recibirlos, leerlos, clasificarlos y validarlos.
Este patrón puede encontrarse allí donde la IA se utiliza para producir volumen sin responsabilidad por la calidad:
- Herramientas de generación de contenidos mediante inteligencia artificial que inundan los buzones de correo con “contactos fríos” masivos y personalizados.
- Generadores de código que generan relaciones públicas en proyectos de código abierto, obligando a los responsables de su mantenimiento a clasificarlas.
- Herramientas de generación de litigios jurídicos que producen escritos citando jurisprudencia inexistente, obligando a los jueces a filtrarla.
En cada caso, el coste de la verificación se subcontrata a un tercero que no ha optado por asumirlo.
Linus Torvalds y la IA: no sobreinterpretes
Torvalds es citado a menudo como crítico de la IA. Su afirmación más conocida: “90% marketing, 10% realidad”, realizada en octubre de 2024 en la Cumbre de Código Abierto de Viena (fuente: The Register). Se trata de un comentario general sobre el bombo publicitario, no de una condena de la tecnología.
Su reacción a la lista de seguridad del núcleo en mayo de 2026 es específica para un problema concreto: el volumen no filtrado. No se trata de una postura anti-IA. Es la reacción previsible de un mantenedor ante la degradación de la señal en un canal crítico.
Sería tan erróneo decir “Torvalds condena la IA” como decir “la IA resuelve los problemas de seguridad”. Ambos simplifican demasiado.
Lo que dice sobre el despliegue de la IA en las empresas
Cualquier empresa que despliegue una herramienta de IA para la detección de anomalías, la auditoría o el cumplimiento de normativas tiene ante sí el patrón Linux. La herramienta detecta a gran escala. Alguien tiene que clasificar, validar y priorizar. Si la cadena de clasificación no está dotada de personal antes del despliegue, la herramienta produce 500 informes a la semana que nadie lee. Las ventajas de la automatización desaparecen en el coste oculto del triaje no asumido. Y a veces se convierte en una pérdida neta cuando una señal real se ahoga en el ruido. Los vendedores de herramientas de IA no tienen ningún interés en destacar esta regla. Precisamente por eso debería ser la primera cuestión del orden del día.