Linus Torvalds: KI-Bug-Reports machen Linux Security List unmanageable

UNGLAUBLICH: Linus reicht der KI-Hype JETZT!

Am 17. Mai 2026 hat Linus Torvalds beim Release-Candidate-4 von Linux 7.1 eine Standpauke gehalten. Sein Vorwurf: Die private Kernel-Security-Mailing-Liste ist ‚fast komplett unmanageable‘ — und Schuld sind KI-Tools, die Researcher als Bug-Hunter einsetzen.

SCHOCK: DREI Researcher, EINE KI, EIN Bug — drei Reports!

Das Kernproblem: Mehrere Researcher laufen die gleichen KI-Tools ueber den gleichen Kernel-Code. Die Tools finden die gleichen Bugs. Und melden sie unabhaengig voneinander an die private Security-Liste — ohne zu wissen, dass schon zwei andere Reports laufen.

Folge: Maintainer wie Greg Kroah-Hartman verbringen ihre Zeit damit, Duplikate weiterzuleiten oder zu erklaeren, dass der Bug schon vor einer Woche oder einem Monat gefixt wurde — inklusive Link auf die oeffentliche Diskussion. Echte Arbeit bleibt liegen.

EXTRA-TIPP von Linus: ‚Lest erst die Doku!‘

Torvalds stellte klar: Er hat NICHTS gegen KI. KI-generierter Code ist im Kernel mittlerweile erlaubt — wer ihn einreicht, traegt die Verantwortung. Aber: Researcher sollen die security-bugs-Doku lesen, einen Patch bauen, oeffentliche Diskussionen pruefen, bevor sie etwas an die private Liste schicken. Sprich: KI als Werkzeug, nicht als Spam-Generator.

GEFAHR! Echte Lecken koennten untergehen!

Das wirkliche Risiko: Wenn die Liste mit Duplikaten zugemuellt ist, koennten echte 0-Days in der Flut untergehen oder zu spaet bearbeitet werden. Genau das passiert in den letzten Wochen anscheinend mehrfach — Maintainer raeumen Stunden lang Duplikate aus, statt richtige Fixes zu reviewen.

So macht es Linux 7.1 anders!

Mit dem Linux-7.1-Release im Juni 2026 kommt eine ueberarbeitete security-bugs-Dokumentation, geschrieben von Maintainer Willy Tarreau. Sie beschreibt, wie man Reports einreicht, was vorher zu pruefen ist und was die Maintainer NICHT noch einmal beantworten wollen.

FAZIT: KI-Tools koennen helfen — wenn der Mensch dranbleibt!

Die Wuetrede ist KEINE pauschale KI-Kritik. Sie ist ein Aufruf an Researcher, KI nicht als Auto-Pilot fuer Bug-Reports zu missbrauchen. Wer als Self-Hoster, Sysadmin oder Distro-Maintainer Kernel-Patches einspielt, profitiert genau davon: weniger Rauschen, mehr Fokus auf echte Probleme.

Häufige Fragen

Was bedeutet das fuer Kernel-Updates?

Kurzfristig nichts Spuerbares — Stable-Kernels wie 7.0.7, 6.18.30 und 6.12.88 erscheinen weiter. Mittelfristig hofft das Kernel-Team, dass weniger Duplikate die Maintainer entlasten und CVEs schneller bearbeitet werden. Tims Empfehlung: Stable-Kernel zeitnah einspielen, beim LTS bleiben.

Wie merke ich, ob mein System betroffen ist?

Indirekt: Wer im LTS-Kernel oder Stable-Kernel zoegert, riskiert, dass eine echte Luecke in der Duplikat-Flut spaeter gefixt wird als noetig. Praktisch sollte man Distro-Updates automatisiert einspielen — Ubuntu Pro, Debian Security oder RHEL liefern zeitnah.

Was sagt Linus konkret an KI-Researcher?

Doku lesen (security-bugs.rst), oeffentliche Mailing-Listen-Archive pruefen, einen Patch bauen oder zumindest einen klaren Reproduzer mitliefern. Wer nur einen KI-Output kopiert und an die private Liste schickt, wird in Zukunft kommentarlos ignoriert oder muss auf den Patch warten.

Gibt es eine offizielle Anleitung?

Ja, die ueberarbeitete security-bugs-Dokumentation ist Teil von Linux 7.1 (Release Juni 2026) und beschreibt den Prozess. Bis dahin gilt die bestehende Doku unter Documentation/process/security-bugs.rst — die ist online auch im kernel.org-Git-Tree einsehbar.

Quellen

LINUS-WUTREDE! KI-Bug-Hunter fluten JETZT die Kernel-Security-Liste — Torvalds schiesst zurueck