Daniel Stenberg, skrywer van 'n program vir die ontvang en stuur van data oor die netwerkkrul, het die gebruik van KI-nutsgoed gekritiseer wanneer kwesbaarheidsverslae geskep word. Sulke verslae bevat gedetailleerde inligting, is in normale taal geskryf en lyk van hoë gehalte, maar sonder deurdagte ontleding in werklikheid kan hulle net misleidend wees, en werklike probleme vervang met 'n hoë-gehalte soekende vullisinhoud.
Die Curl-projek betaal belonings vir die identifisering van nuwe kwesbaarhede en het reeds 415 verslae van potensiële probleme ontvang, waarvan slegs 64 as kwesbaarhede en 77 as nie-sekuriteitsfoute bevestig is. 66% van alle verslae het dus geen nuttige inligting bevat nie en het slegs tyd van ontwikkelaars weggeneem wat aan iets nuttigs bestee kon word.
Ontwikkelaars word gedwing om baie tyd te mors om nuttelose verslae te ontleed en die inligting wat daar vervat is, verskeie kere te kontroleer, aangesien die eksterne kwaliteit van die ontwerp bykomende vertroue in die inligting skep en daar 'n gevoel is dat die ontwikkelaar iets verkeerd verstaan het. Aan die ander kant verg die generering van so 'n verslag minimale inspanning van die aansoeker, wat nie die moeite doen om na 'n werklike probleem te kyk nie, maar bloot die data wat van KI-assistente ontvang word blindelings kopieer, met die hoop op geluk in die stryd om 'n beloning te ontvang.
Twee voorbeelde van sulke vullisverslae word gegee. Die dag voor die beplande bekendmaking van inligting oor die gevaarlike Oktober-kwesbaarheid (CVE-2023-38545), is 'n verslag via Hackerone gestuur dat die pleister met die regstelling publiek beskikbaar geword het. Trouens, die verslag bevat 'n mengsel van feite oor soortgelyke probleme en brokkies gedetailleerde inligting oor vorige kwesbaarhede wat deur Google se KI-assistent Bard saamgestel is. Gevolglik het die inligting nuut en relevant gelyk en geen verband met die werklikheid gehad nie.
Die tweede voorbeeld handel oor 'n boodskap wat op 28 Desember ontvang is oor 'n bufferoorloop in die WebSocket-hanteerder, gestuur deur 'n gebruiker wat reeds verskeie projekte oor kwesbaarhede deur Hackerone ingelig het. As 'n metode om die probleem te reproduseer, het die verslag algemene woorde ingesluit oor die deurstuur van 'n gewysigde versoek met 'n waarde groter as die grootte van die buffer wat gebruik word wanneer met strcpy gekopieer word. Die verslag het ook 'n voorbeeld van 'n regstelling ('n voorbeeld van die vervanging van strcpy met strncpy) verskaf en 'n skakel na die kodereël "strcpy(keyval, randstr)" aangedui, wat volgens die applikant 'n fout bevat het.
Die ontwikkelaar het alles drie keer dubbel gekontroleer en geen probleme gevind nie, maar aangesien die verslag met selfvertroue geskryf is en selfs 'n regstelling bevat, was daar 'n gevoel dat iets iewers skort. 'n Poging om te verduidelik hoe die navorser dit reggekry het om die eksplisiete groottekontrole wat voor die strcpy-oproep teenwoordig was te omseil en hoe die grootte van die sleutelvalbuffer minder as die grootte van die geleesde data geblyk het te wees, het gelei tot gedetailleerde, maar nie addisionele inligting nie, verduidelikings wat net gekou het aan die ooglopende algemene oorsake van bufferoorloop wat nie verband hou met spesifieke Curl-kode nie. Die antwoorde het herinner aan kommunikasie met 'n KI-assistent, en nadat hy 'n halwe dag bestee het aan sinnelose pogings om uit te vind presies hoe die probleem hom manifesteer, was die ontwikkelaar uiteindelik oortuig dat daar in werklikheid geen kwesbaarheid was nie.
Bron: opennet.ru