በኔትወርኩ ኩርባ ላይ መረጃን ለመቀበል እና ለመላክ የፍጆታ ደራሲ ዳንኤል ስተንበርግ የተጋላጭነት ሪፖርቶችን በሚፈጥሩበት ጊዜ የ AI መሳሪያዎችን አጠቃቀም ተችተዋል። እንደነዚህ ዓይነቶቹ ዘገባዎች ዝርዝር መረጃን ያካትታሉ, በመደበኛ ቋንቋ የተፃፉ እና ከፍተኛ ጥራት ያላቸው ናቸው, ነገር ግን ያለአሳቢ ትንታኔ በእውነታው ላይ ስህተት ብቻ ሊሆኑ ይችላሉ, እውነተኛ ችግሮችን በከፍተኛ ጥራት በሚመስሉ ቆሻሻዎች ይተካሉ.
Curl ፕሮጀክት አዳዲስ ተጋላጭነቶችን በመለየት ሽልማቶችን የሚከፍል ሲሆን ቀደም ሲል 415 ሊፈጠሩ የሚችሉ ችግሮች ሪፖርቶችን ተቀብሏል፣ ከነዚህም ውስጥ 64ቱ ብቻ እንደ ተጋላጭነት እና 77 እንደ ደህንነታቸው ያልተጠበቁ ስህተቶች ተረጋግጠዋል። ስለዚህ ከሁሉም ሪፖርቶች ውስጥ 66% የሚሆኑት ምንም ጠቃሚ መረጃ አልያዙም እና ለጠቃሚ ነገር ጥቅም ላይ ሊውሉ የሚችሉትን ጊዜ ከገንቢዎች ብቻ ወስደዋል.
የንድፍ ውጫዊ ጥራት በመረጃው ላይ ተጨማሪ እምነት ስለሚፈጥር እና ገንቢው የሆነ ነገር እንዳልተረዳው ስለሚሰማው ገንቢዎች የማይጠቅሙ ዘገባዎችን በመተንተን እና እዚያ ያለውን መረጃ ብዙ ጊዜ በማጣራት ብዙ ጊዜ እንዲያባክኑ ይገደዳሉ። በሌላ በኩል እንዲህ ዓይነቱን ሪፖርት ማመንጨት ከአመልካቹ አነስተኛ ጥረት ይጠይቃል, እውነተኛ ችግርን ለማጣራት አይቸገርም, ነገር ግን ከ AI ረዳቶች የተቀበለውን መረጃ በጭፍን ይገለበጣል, ሽልማት ለማግኘት በሚደረገው ትግል ውስጥ ዕድልን ተስፋ በማድረግ.
እንደነዚህ ያሉ የቆሻሻ መጣያ ሪፖርቶች ሁለት ምሳሌዎች ተሰጥተዋል. ስለ አደገኛው የኦክቶበር ተጋላጭነት መረጃ ይፋ ከመደረጉ አንድ ቀን በፊት (CVE-2023-38545)፣ ከተስተካከለው ጋር ያለው መጣጥፍ በይፋ መገኘቱን የሚገልጽ ዘገባ በ Hackerone በኩል ተልኳል። እንዲያውም፣ ሪፖርቱ ስለ ተመሳሳይ ችግሮች የተለያዩ እውነታዎችን እና በጉግል AI ረዳት ባርድ የተጠናቀረ ያለፉትን ተጋላጭነቶችን በተመለከተ ዝርዝር መረጃዎችን ይዟል። በውጤቱም, መረጃው አዲስ እና ጠቃሚ ይመስላል, እና ከእውነታው ጋር ምንም ግንኙነት አልነበረውም.
ሁለተኛው ምሳሌ በWebSocket ተቆጣጣሪው ውስጥ ስላለው ቋት ሞልቶ ስለሚፈስ በዲሴምበር 28 የደረሰውን መልእክት የሚመለከት ሲሆን ይህም በ Hackerone በኩል የተለያዩ ፕሮጄክቶችን አስቀድሞ በተናገረ ተጠቃሚ የተላከ ነው። ችግሩን እንደማባዛት ዘዴ፣ ሪፖርቱ በ strcpy በሚገለበጥበት ጊዜ ጥቅም ላይ ከሚውለው የቋት መጠን የበለጠ ዋጋ ያለው የተሻሻለ ጥያቄን ስለማለፍ አጠቃላይ ቃላትን አካቷል። ሪፖርቱ በተጨማሪም የማስተካከያ ምሳሌ (strcpyን በ strcpy የመተካት ምሳሌ) እና ወደ ኮድ መስመር "strcpy(keyval, randstr)" አገናኝ አመልክቷል, ይህም እንደ አመልካቹ, ስህተት ይዟል.
ገንቢው ሁሉንም ነገር ሶስት ጊዜ ደጋግሞ አረጋግጧል እና ምንም አይነት ችግር አላገኘም, ነገር ግን ሪፖርቱ በልበ ሙሉነት ስለተጻፈ እና እንዲያውም እርማት ስለያዘ, የሆነ ቦታ ላይ የሆነ ነገር እንደጎደለ ተሰማ. ተመራማሪው ከ strcpy ጥሪ በፊት ያለውን ግልጽ የመጠን ቼክ እንዴት ማለፍ እንደቻለ እና የ keyval buffer መጠን ከተነበበው መረጃ መጠን ያነሰ ሆኖ እንዴት እንደተገኘ ለማብራራት የተደረገው ሙከራ ዝርዝር መግለጫዎችን ይዟል ነገር ግን ተጨማሪ መረጃ አልያዘም, ማብራሪያዎች. ከተወሰነ የኩርል ኮድ ጋር ያልተያያዙ ግልጽ የሆኑ የተለመዱ የማከማቻ መብዛት መንስኤዎችን ብቻ ያኘኩት። ምላሾቹ ከ AI ረዳት ጋር መገናኘትን የሚያስታውሱ ነበሩ, እና ችግሩ በትክክል እንዴት እንደሚገለጥ ለማወቅ ግማሽ ቀን በማይረባ ሙከራዎች ካሳለፉ በኋላ, ገንቢው በመጨረሻ ምንም አይነት ተጋላጭነት እንደሌለ እርግጠኛ ነበር.
ምንጭ: opennet.ru