Linus Torvalds, creador del kernel Linux, dice que la lista de correo de seguridad del proyecto está "casi totalmente inmanejable, con duplicación enorme debido a diferentes personas encontrando las mismas cosas con las mismas herramientas." La causa es la investigación de vulnerabilidades AI-assisted produciendo una manguera de reportes de baja calidad — los mantenedores sobrecargados pasan horas triando duplicados y falsos positivos antes de llegar a problemas reales. helpnetsecurity reportó la historia el 18 de mayo. La misma dinámica aparece en el artículo de ArsTechnica de esta semana sobre negocios de bug-bounty bombardeados con AI slop. Superficie diferente, misma mecánica: las mismas herramientas que los defensores usan para escanear su propio código, atacantes y cazadores de bounty las usan para inundar los canales de divulgación de vulnerabilidades.
El cambio estructural que esto representa es el colapso de señal-a-ruido en la infraestructura de reportes de vulnerabilidades. Pre-LLM, un reporte de seguridad a un mantenedor era un artefacto costoso — alguien con habilidad pasaba horas produciendo uno. Los mantenedores triaban por calidad de señal. Post-LLM, el costo de generación cayó en órdenes de magnitud mientras el costo de revisión se mantuvo constante. Los flujos de trabajo de mailing list y plataforma de bug-bounty fueron diseñados asumiendo que la asimetría de costo favorecía la señal; ahora están invertidos. La "duplicación debido a diferentes personas encontrando las mismas cosas con las mismas herramientas" de Torvalds es exactamente eso — múltiples remitentes corriendo los mismos escáneres AI off-the-shelf contra el mismo kernel y aflorando los mismos outputs, a menudo sin suficiente entendimiento para deduplicar.
Empareja esto con la cobertura de hoy sobre Synack, Lyrie, MetaBackdoor y TeamPCP. Synack reportó AI comprimiendo la ventana de exploit — los adversarios weaponizan CVEs en horas. Lyrie envía sondeo autónomo del lado defensor. MetaBackdoor muestra ataques training-time eludiendo defensas del lado contenido. TeamPCP demuestra robo de llaves supply-chain vía Trivy. El problema de ruido es la quinta capa: incluso si herramientas defensivas, velocidad de atacante, amenazas training-time, e integridad supply-chain fueran todas atendidas, la infraestructura de reporte misma está actualmente siendo desbordada. Para builders que mantienen proyectos open-source, tu canal de reporte de vulnerabilidad es ahora un problema de costo de triaje, no un problema de costo de descubrimiento.
Lunes: si mantienes un proyecto open-source con reporte público de vulnerabilidades (security@tuproyecto.org, GitHub Security Advisories, programa HackerOne), configura un filtro de triaje que requiera a los reporteros demostrar que corrieron el exploit producido, no solo el output del escáner. "Muéstrame el PoC funcionando, no el hallazgo del escáner" es el filtro más barato. El problema de mailing list de Torvalds sugiere que las normas de divulgación GPG-firmadas existentes no filtran lo suficiente. Para programas bug-bounty, considera intake en capas — créditos pagados de triaje condicionados a reportes previamente aceptados, o penalizaciones de rechazo en envíos AI-slop. La pregunta más profunda: ¿en qué punto la norma de divulgación de seguridad open-source necesita ser rediseñada alrededor de la nueva asimetría de costo? Torvalds llamando inmanejable a la lista de seguridad del kernel es el canario; el resto del mundo open-source chocará contra la misma pared.