Linux kernel के creator Linus Torvalds कहते हैं project की security mailing list "लगभग पूरी तरह unmanageable है, अलग-अलग लोग same tools से same चीज़ें खोजते हुए enormous duplication के कारण।" Cause है AI-assisted vulnerability research जो low-quality reports का firehose produce कर रही है — overworked maintainers घंटों duplicates और false positives triage करने में बिताते हैं real problems तक पहुँचने से पहले। helpnetsecurity ने 18 मई को story report की। वही dynamic इस हफ्ते के ArsTechnica piece में दिखती है bug-bounty businesses AI slop से bombarded होने पर। अलग surface, वही mechanic: वही tools जो defenders अपना code scan करने के लिए use करते हैं, attackers और bounty hunters vulnerability disclosure channels को flood करने के लिए use करते हैं।
Structural shift जो यह represent करता है वो है vulnerability reporting infrastructure में signal-to-noise collapse। Pre-LLM, एक maintainer को security report एक expensive artifact थी — skill वाला कोई घंटे बिताकर एक produce करता। Maintainers signal quality से triage करते थे। Post-LLM, generation cost orders of magnitude गिरी जबकि review cost constant रही। Mailing-list और bug-bounty-platform workflows assume करके design हुए थे कि cost asymmetry signal के favor में है; अब वो inverted हैं। Torvalds की "अलग-अलग लोग same tools से same चीज़ें खोजते हुए duplication" यही है — multiple submitters same off-the-shelf AI scanners same kernel के against चला रहे हैं और same outputs surface कर रहे हैं, अक्सर deduplicate करने जितनी समझ के बिना।
इसे आज की Synack, Lyrie, MetaBackdoor, और TeamPCP coverage के साथ pair करो। Synack ने report किया AI exploit window compress कर रही है — adversaries CVEs को hours में weaponize करते हैं। Lyrie defender-side autonomous probing ship करता है। MetaBackdoor training-time attacks दिखाता है जो content-side defenses को bypass करते हैं। TeamPCP Trivy के through supply-chain key theft demonstrate करता है। Noise problem fifth layer है: defense tooling, attacker speed, training-time threats, और supply-chain integrity सब address भी हो जाएँ, तो भी reporting infrastructure खुद अभी overrun हो रही है। Open-source projects maintain करने वाले builders के लिए, आपका vulnerability reporting channel अब triage-cost problem है, discovery-cost problem नहीं।
सोमवार: अगर आप public vulnerability reporting वाला कोई open-source project maintain करते हो (security@yourproject.org, GitHub Security Advisories, HackerOne program), एक triage filter set up करो जो reporters से demonstrate करवाए कि उन्होंने produced exploit run किया, सिर्फ़ scanner output नहीं। "मुझे काम करता PoC दिखाओ, scanner finding नहीं" सबसे सस्ता filter है। Torvalds की mailing-list problem suggest करती है existing GPG-signed-disclosure norms enough filter नहीं कर रहे। Bug-bounty programs के लिए, tiered intake consider करो — paid triage credits जो prior accepted reports पर gated हों, या AI-slop submissions पर rejection penalties। गहरा question: किस point पर open-source security disclosure norm को नई cost asymmetry के around redesign करने की ज़रूरत होगी? Torvalds kernel security list को unmanageable कहते हैं, यह canary है; बाकी open-source world same wall से टकराएगा।