Nel maggio 2026, durante il ciclo di sviluppo di Linux 7.1-rc4, Linus Torvalds ruppe il suo consueto silenzio sulla lista di sicurezza privata del kernel. I suoi commenti furono brevi e brutali: l’elenco era diventato “quasi del tutto ingestibile”.
La causa individuata: una marea di segnalazioni di vulnerabilità generate dall’IA, massicciamente duplicate. Diversi ricercatori o strumenti automatizzati trovano gli stessi potenziali bug con gli stessi strumenti, segnalando la stessa cosa senza coordinamento o validazione preventiva.
Questo è un caso documentato e verificabile. Non è un caso isolato. E merita di essere letto con calma, senza ridurlo in nessun modo.
Cosa è successo, esattamente
L’elenco privato di sicurezza del kernel Linux è il luogo in cui i ricercatori di sicurezza segnalano le vulnerabilità prima che vengano rese pubbliche. È un meccanismo di divulgazione responsabile: si trova una vulnerabilità, la si segnala ai manutentori, loro la correggono e poi viene pubblicata. Questo processo protegge gli utenti durante la finestra di correzione.
Il problema è stato segnalato nel maggio 2026: strumenti di analisi statica o di verifica del codice basati su LLM sono stati utilizzati da diversi operatori indipendenti per analizzare il codice del kernel. Questi strumenti hanno identificato gli stessi schemi di potenziali vulnerabilità. Molte di queste sono state segnalate in parallelo, da persone diverse, senza verificare che il bug fosse reale o che non fosse già stato segnalato.
Il risultato: un elenco privato inondato di segnalazioni, di cui solo una minima parte corrisponde a vulnerabilità reali e molte sono duplicate. Per i manutentori volontari della sicurezza del kernel, ogni segnalazione deve essere letta, valutata e ordinata.
L’uomo d’acciaio: l’intelligenza artificiale trova anche bug reali
La sfumatura è importante e gli stessi manutentori l’hanno sottolineata. L’intelligenza artificiale non genera solo rumore. Questi strumenti automatici hanno scoperto vulnerabilità reali. Bug che sarebbero potuti passare inosservati per anni sono stati identificati grazie all’analisi statica su larga scala.
Questo è il progresso onesto da riconoscere. Gli strumenti di analisi basati sull’intelligenza artificiale hanno una reale capacità di scansionare in profondità grandi basi di codice, con una copertura che un essere umano non può raggiungere manualmente. Questo è un vantaggio.
Il problema non è l’IA nell’audit di sicurezza. Il problema è l’uso senza filtro, senza validazione, senza coordinamento. L’IA riduce il costo della ricerca di potenziali bug. Non riduce, anzi aumenta, il costo della loro convalida se nessuno si assume la responsabilità di questa fase.
I manutentori del kernel fanno notare che mentre alcuni rapporti generati dall’IA identificano problemi reali, la maggior parte sono falsi positivi o duplicati di problemi già noti. duplicati di problemi già noti. Il volume ha reso lo smistamento “quasi quasi del tutto ingestibile”.
Cosa illustra questo caso: il costo esternalizzato
Questo è l’aspetto che la maggior parte delle analisi trascura. L’intelligenza artificiale che genera rapporti sulla sicurezza in una catena trasferisce un costo. Riduce il costo della persona che genera i rapporti. Aumenta il costo per coloro che devono riceverli, leggerli, smistarli e convalidarli.
Questo modello si ritrova ovunque l’IA venga utilizzata per produrre volumi senza responsabilità per la qualità:
- Strumenti di generazione di contenuti AI che inondano le caselle di posta elettronica con “cold outreach” personalizzati e di massa.
- Generatori di codice che sfornano PR su progetti open source, costringendo i manutentori a fare la loro parte
- Strumenti di generazione di contenziosi legali che producono memorie che citano giurisprudenza inesistente, costringendo i giudici a filtrarla
In ogni caso, il costo della verifica viene esternalizzato a una terza parte che non ha scelto di sostenerlo.
Linus Torvalds e l’IA: non sovrainterpretare
Torvalds è spesso citato come critico dell’IA. La sua dichiarazione più nota: “90% marketing, 10% realtà”, pronunciata nell’ottobre 2024 all’Open Source Summit di Vienna (fonte: The Register). Si tratta di un commento generale sull’hype, non di una condanna della tecnologia.
La sua reazione all’elenco di sicurezza del kernel nel maggio 2026 è specifica per un problema particolare: il volume non filtrato. Non si tratta di una posizione anti-IA. È la reazione prevedibile di un manutentore al degrado del segnale in un canale critico.
Sarebbe sbagliato dire “Torvalds condanna l’IA” come sarebbe sbagliato dire “l’IA risolve i problemi di sicurezza”. Entrambi semplificano eccessivamente.
Cosa dice sull’impiego dell’IA in azienda
Il modello Linux è sotto gli occhi di tutte le aziende che utilizzano uno strumento di intelligenza artificiale per il rilevamento delle anomalie, l’auditing o la conformità. Lo strumento rileva su larga scala. Qualcuno deve smistare, convalidare e dare priorità. Se la catena di smistamento non è composta da personale prima dell’implementazione, lo strumento produce 500 report alla settimana che nessuno legge. I vantaggi dell’automazione scompaiono nel costo nascosto del triage non previsto. E a volte diventa una perdita netta quando un segnale reale annega nel rumore. I fornitori di strumenti di intelligenza artificiale non hanno alcun interesse a mettere in evidenza questa regola. Ed è proprio per questo che dovrebbe essere la prima domanda all’ordine del giorno.