En tråd på Hacker News som vokser fort akkurat nå handler om noe ganske oppsiktsvekkende: utvikleren Michael Lynch lot Claude Code gå løs på Linux-kildekode, og agenten dukket opp med en sårbarhet i en driver som har vært i kjernen siden 2002. To tiår og tusenvis av menneskelige code reviews. Ingenting. Så tar en AI noen minutter.
Dette er selvfølgelig early signals fra én community-kilde, og vi vet foreløpig ikke alle detaljene rundt alvorlighetsgraden eller om det faktisk er utnyttbart i praksis. Men selve premisset er det som får folk til å sitte opp.
Det som gjør dette ekstra interessant er hvordan funnet skjedde. Lynch var ikke nødvendigvis på jakt etter sikkerhetsbugs — han brukte Claude Code som et generelt analyseverktøy. Det antyder at AI-assistert kodegjennomgang kan avdekke reelle sårbarheter som en slags bieffekt, uten at det er det primære målet.
Kommentarfeltet på HN er som alltid en blanding av entusiasme og sunn skepsis. Noen peker på at klassiske SAST-verktøy og formell verifisering teoretisk sett burde plukke opp slikt. Andre argumenterer for at LLM-er opererer mer som en erfaren menneskelig reviewer — de forstår kontekst og intensjon, ikke bare syntaks og regler.
Og det er akkurat her dette berører noe større. Forskningsrapporter fra 2025-2026 viser at AI-generert kode introduserer sikkerhetsproblemer i nesten halvparten av tilfellene (Veracode, 2025), mens hele 81 % av organisasjoner mangler oversikt over hvor AI-generert kode faktisk befinner seg i stacken sin. Det er en ganske giftig kombinasjon: mer AI-kode inn, men lite systematisk AI-drevet sikkerhetskontroll ut.
Så hva betyr dette konkret? To ting:
1. Retrospektiv kodeanalyse blir plutselig veldig interessant. Hvis Claude Code kan snuble over en 23 år gammel feil i forbifarten, hva ligger det i din legacy-kodebase?
2. Spørsmålet om hvem som finner sårbarhetene først blir mer akutt. Sikkerhetsmiljøet har lenge snakket om at trusselaktører vil ta i bruk AI for å automatisere sårbarhetsjakt. Dette er et konkret eksempel på at den defensive siden også kan gjøre det — men det er et kappløp.
Vi følger denne saken. Verifiser selv via Lynch sin blogg og HN-tråden før du trekker for sterke konklusjoner — dette er fortsatt et early signal, ikke en fagfellevurdert rapport.