CNCF: AI ubrzava otkrivanje ranjivosti ali poplavljuje open-source maintainere lažnim izvještajima

Cloud Native Computing Foundation (CNCF) objavio je 16. travnja 2026. opsežnu analizu kako AI alati mijenjaju dinamiku otkrivanja sigurnosnih ranjivosti u open-source projektima. Napisao ju je Greg Castle iz Googlea (Kubernetes SIG) zajedno s 10 koautora, a zaključci otkrivaju dvosječni mač AI-potpomognutog sigurnosnog istraživanja.

U čemu je problem?

AI modeli dramatično ubrzavaju skeniranje koda za potencijalne ranjivosti — ono što je nekad zahtijevalo dane ručnog pregleda, sada se može obaviti u satima. Međutim, triage (procjena koja od prijavljenih ranjivosti je stvarna) postao je kritično usko grlo u cijelom pipeline-u skeniranje → triage → popravak → distribucija.

Problem je u količini: AI alati generiraju poplavu izvještaja od kojih su mnogi teoretski problemi bez praktičnog eksploatacijskog potencijala. Maintaineri troše sve više vremena na sortiranje lažnih pozitiva umjesto na stvarno poboljšanje sigurnosti.

Što CNCF preporučuje?

Tri ključne preporuke ističu se iz dokumenta. Prvo, obavezni proof-of-concept (PoC) eksploit za svaku prijavljenu ranjivost — ovo bi razlikovalo stvarne od teoretskih problema. Drugo, projekti trebaju objaviti threat modele koji definiraju koje klase bugova su izvan opsega za njihov projekt.

Treće i najkontroverznije: CNCF izričito ne preporučuje potpuno automatsko podnošenje izvještaja o ranjivostima. Svaki izvještaj treba proći ljudski pregled prije slanja maintainerima. Automatizacija bez nadzora stvara više problema nego što rješava.

Zašto je ovo važno za cijeli ekosustav?

Istraživanje sigurnosti open-source koda je temelj digitalnog ekosustava — od Kubernetes klastera do JavaScript biblioteka. Ako AI alati neprestano poplavljuju maintainere lažnim izvještajima, rizik je da će maintaineri početi ignorirati sve izvještaje — uključujući one stvarne. CNCF-ov dokument je pokušaj uspostavljanja normi prije nego problem postane nekontroliran.