Linus Torvalds, creador del kernel Linux y responsable de su desarrollo desde 1991, asegura que la lista de seguridad del proyecto se encuentra «casi completamente inmanejable». La causa es la llegada masiva de reportes de vulnerabilidades generados con herramientas de inteligencia artificial (IA).
El problema, de acuerdo con una publicación de Torvalds de este 17 de mayo en la Linux Kernel Mailing List (LKML), no es la IA en sí misma sino el patrón de uso: distintos investigadores aplican los mismos programas automatizados sobre el mismo código fuente y reportan de forma independiente los mismos fallos.
Publicidad
El resultado es una acumulación de duplicados en la lista privada de seguridad del proyecto, donde los mantenedores no pueden ver qué ya fue enviado por otros.
El kernel Linux es el núcleo del sistema operativo que sustenta desde servidores empresariales y dispositivos Android hasta infraestructura crítica en la nube.
Torvalds coordina su desarrollo de forma voluntaria junto a miles de colaboradores globales. Sus decisiones sobre política y flujos de trabajo afectan directamente la seguridad de millones de sistemas.
Sin embargo, no todos los mantenedores del kernel comparten la misma visión. Greg Kroah-Hartman, segundo al mando del proyecto y responsable de la rama estable, ha señalado que la IA se ha convertido en “una herramienta cada vez más útil” para la comunidad open source.
Para Kroah-Hartman, aunque inicialmente generó mucho ruido, las herramientas de IA ya producen reportes reales y valiosos, siempre que se utilicen de forma adecuada.
Linux dicta reglas para regular el problema
A pesar del contraste de ideas, Torvalds mantuvo su postura y acompañó sus críticas con el lanzamiento del cuarto candidato de liberación de Linux 7.1. Señaló que el equipo publicó documentación formal para regular este tipo de reportes.
Según Torvalds, los bugs encontrados mediante herramientas de IA deben tratarse como divulgación pública y enviarse directamente a los mantenedores responsables de cada componente, no a la lista privada de seguridad.
La documentación publicada establece que los reportes deben ser concisos, escritos en texto plano e incluir un reproductor verificado que confirme el fallo.
Torvalds sostuvo además que los investigadores que quieran contribuir de forma efectiva deben ir más allá del reporte automatizado: la expectativa, según señaló, es que desarrollen y envíen parches con la corrección.
Ledger, Google y Linux muestran otra cara de la IA
La advertencia de Torvalds no ocurre en el vacío. En abril de 2026, Charles Guillemet, director de tecnología de Ledger, señaló que la barrera de entrada para los atacantes se está derrumbando, ya que los modelos de lenguaje permiten analizar diferencias entre versiones de software y generar exploits de forma más rápida, barata y eficiente que antes.
Guillemet apuntó específicamente a los llamados exploits de un día: fallos con parche disponible que siguen siendo explotados porque los usuarios no actualizan sus sistemas con la velocidad suficiente.
El caso más reciente y concreto lo documentó Google. El 11 de mayo de 2026, el Google Threat Intelligence Group (GTIG) reveló haber detectado el primer caso documentado de una vulnerabilidad de día cero desarrollada con asistencia de inteligencia artificial, interceptando la campaña antes de que pudiera ejecutarse.
Entre las evidencias encontradas en el código, los investigadores identificaron comentarios excesivamente explicativos, una estructura considerada muy característica de modelos de lenguaje y hasta un puntaje de severidad inventado, un rasgo asociado a las alucinaciones de los sistemas generativos.
John Hultquist, analista jefe de GTIG, sostuvo que este caso probablemente representa la punta del iceberg de cómo actores criminales y grupos respaldados por Estados están impulsando el uso ofensivo de la inteligencia artificial.
El problema que Torvalds señala en el kernel Linux —la IA como generadora de ruido masivo en los flujos de seguridad—; y el que documentan Ledger y Google —la IA como acelerador de ataques reales— apuntan a dos caras del mismo fenómeno: los sistemas de seguridad del software, públicos y privados, están siendo presionados simultáneamente por el volumen y por la velocidad que la automatización inteligente hace posible.
De esta forma, la advertencia de Linus Torvalds está poniendo de manifiesto uno de los grandes desafíos de la era de la IA: la diferencia entre automatizar la detección de problemas y mantener la capacidad humana de gestionarlos.
