IA está quebrando as duas culturas de vulnerabilidade: Divulgação Coordenada vs. "Bugs são Bugs" do Linux

O post de Jeff Kaufman "AI Is Breaking Two Vulnerability Cultures" examina a tensão entre a divulgação coordenada e a abordagem "bugs são bugs" do Linux, acelerada pela IA. A vulnerabilidade Copy Fail (reportada em maio de 2026) ilustra o colapso: Hyunwoo Kim seguiu o procedimento padrão do Linux — compartilhou privadamente com uma lista fechada de engenheiros de segurança enquanto corrigia silenciosamente em público. Mas alguém notou o diff, percebeu as implicações de segurança e tornou público imediatamente, encerrando o embargo.

As Duas Culturas

• Divulgação coordenada: Reporte em privado, dê aos mantenedores ~90 dias para corrigir. Objetivo: corrigir antes que o público saiba. Mas com a varredura assistida por IA, a redescoberta independente é comum — neste caso, apenas 9 horas após o relato de Kim, Kuan-Ting Chen encontrou independentemente o mesmo bug.
• Linux "bugs são bugs": Corrija rápido sem chamar atenção. O argumento: se o kernel faz algo errado, alguém pode weaponizá-lo. Mas como a IA fica boa em encontrar vulnerabilidades, a relação sinal-ruído dos commits aumenta, tornando o exame mais atraente e barato.

Por Que a IA Muda Tudo

Kaufman testou três modelos de IA na correção (f4c50a403): Gemini 3.1 Pro, ChatGPT-Thinking 5.5 e Claude Opus 4.7 identificaram instantaneamente como um patch de segurança. Mesmo apenas com o diff (sem contexto), Gemini teve certeza, GPT provável, Claude provável. Isso significa que embargos — mesmo curtos — são cada vez mais frágeis: defensores também podem usar IA, mas atacantes podem escanear commits mais rápido.

Kaufman sugere embargos muito curtos (e encurtando ainda mais com o tempo) como uma resposta pragmática, aproveitando a IA para acelerar os defensores. Embargos longos criam uma falsa sensação de não urgência e limitam quem pode trabalhar nas correções.

Leia o post completo para uma análise mais profunda e o prompt específico que Kaufman usou para testar.