“人们认为，当他们发现人工智能系统中的漏洞时，第一反应往往是将其报告给安全团队，因为这可能会影响到系统的安全性，”他说。结果，由于这个列表的规模很小且属于保密性质， “我们收到了大量关于漏洞的报告。而最终，这个列表上的记录却寥寥无几……我们把所有时间都花在了把这些报告转发给那些更了解该领域情况的开发者身上。”

同时，他敦促研究人员不要公开那些可用于实际攻击的漏洞：“对于那些确实构成安全威胁的漏洞，你最好不要将其公之于众……不要成为那种到处吹嘘自己能攻破某家大公司的人。”

他特意强调，关闭源代码并非解决问题的办法：“例如，我不认为放弃开源才是解决办法。因为如果你认为人工智能无法反编译闭源代码，那你就大错特错了。”事实上，他警告说：“在这方面，闭源代码的情况更糟。因为人工智能无法帮你解决问题，但它完全可以帮你发现这些问题。”

从积极的角度来看，他将人工智能发现的漏洞视为“短期的痛苦”，但带来的好处却是长期的：“当人工智能在某个源代码中找到漏洞时……从长远来看，因为你发现了漏洞，我们才得以修复它，最终的结果自然会更好。”他继续说道：“我觉得发现漏洞是一件好事，因为真正的问题在于那些你没有发现的漏洞。”

但他也警告说，随着人工智能技术将大量流量引入本已不堪重负的社区，将会出现“社交瓶颈和社交痛点”。尤其是那些由个人或小型团队维护的、与 Linux 内核无关的数千个项目。他说，对于这些维护者来说，大量的人工智能生成的错误报告会让他们筋疲力尽。尤其是当这些报告只是空洞无物的内容，而当人们要求提供更多信息时，报告者却根本不回应。

托瓦兹指出，至关重要的是，未来的开发者仍然需要明白自己所使用的工具究竟能产生什么结果。“归根结底，你得明白整个系统的运作原理，”他说。“即使我在开发个人玩具项目时使用人工智能来生成代码，我也会仔细查看那些代码，甚至会去了解汇编语言的原理……因为那是我从小学习的方式。”他警告说，对于任何需要长期维护的系统来说，“你不仅要了解输入指令的含义，还要明白最终的输出结果是什么，因为只有这样，才能确保系统能够长期稳定地运行下去。”

“软件极其复杂，”他说。“应对这种复杂性的唯一有效方式就是采用开源技术。”如今，人工智能只不过是程序员工具箱中的又一种工具而已。

Linus Torvalds on the AI claim that makes him angry, and what security researchers should never do | ZDNET