Il disastro di rsync e il rischio delle infrastrutture AI

𝗜𝗹 𝗱𝗶𝘀𝗮𝘀𝘁𝗿𝗼 𝗱𝗶 𝗿𝘀𝘆𝗻𝗰 𝗲 𝗶𝗹 𝗿𝗶𝘀𝗰𝗵𝗶𝗼 𝗽𝗲𝗿 𝗹'𝗶𝗻𝗳𝗿𝗮𝘀𝘁𝗿𝘂𝘁𝘁𝘂𝗿𝗮 𝗔𝗜

Un manutentore di rsync ha utilizzato Claude per aiutare il rilascio di una nuova versione. Il rilascio ha compromesso la gestione dei percorsi assoluti.

Rsync gira su milioni di server. Gestisce backup, deployment e mirror. Se rsync fallisce, i backup si interrompono. I dati non vengono sincronizzati. Il danno è enorme perché lo strumento è ovunque.

Il bug è derivato da una patch di sicurezza assistita dall'IA. Questo mette in luce un problema massiccio relativo agli strumenti di coding basati su IA.

Gli assistenti IA lavorano su pattern. Eccellono nello scrivere nuovo codice o boilerplate. Ma il codice per le infrastrutture stabili deve rimanere invariato. Non dovrebbe cambiare il proprio comportamento.

Il codice di rsync appare strano apposta. Gestisce casi limite (edge cases) riscontrati in produzione anni fa. Un'IA vede questo codice insolito e cerca di migliorarlo. Non comprende i contratti impliciti con gli utenti.

L'IA non aveva intenzione di rompere lo strumento. Semplicemente, non sapeva che la priorità assoluta fosse non cambiare nulla.

Uso l'IA ogni giorno. Mi aiuta a scrivere più velocemente e a sperimentare. Non sono contrario all'IA. Ma non lascio mai che l'IA prenda decisioni critiche nel codice dell'infrastruttura. Tratto ogni suggerimento dell'IA come il commento di un developer junior.

Il pericolo è il gradiente di fiducia. Se un'IA ti fornisce dieci risposte corrette, ti fidi troppo della undicesima. La revisioni meno. La approvi più velocemente.

Questo è un problema di collasso del contesto. L'IA tratta un progetto del fine settimana e un'utility Unix di trent'anni fa con lo stesso livello di sicurezza. Non conosce l'importanza del codice che tocca.

I manutentori hanno la responsabilità. Ma abbiamo bisogno di nuovi guardrail.

Lo sviluppo assistito dall'IA necessita di regole diverse per diversi livelli di rischio. Alcuni codici hanno un prezzo elevato se si rompono. Questo include rsync, OpenSSL e i driver dei database.

L'incidente di rsync è stato un avvertimento. Non sono stati persi dati, ma dimostra perché dobbiamo stare attenti.

Non smettere di usare l'IA. Invece, sviluppa istinti migliori. Impara a capire quando non fidarti della macchina.

A che punto smetti di fidarti dei suggerimenti dell'IA? Quando un codebase diventa troppo critico per accettare qualcosa di meno di una revisione paranoica?

Source: https://dev.to/adioof/the-rsync-disaster-proves-ai-isnt-ready-for-infrastructure-code-4154

Optional learning community: https://t.me/GyaanSetuAi