Şəbəkə bükülməsi üzərindən məlumatların qəbulu və göndərilməsi üçün yardım proqramının müəllifi Daniel Stenberq zəiflik hesabatlarını hazırlayarkən süni intellekt alətlərindən istifadəni tənqid edib. Bu cür hesabatlar təfərrüatlı məlumatları ehtiva edir, normal dildə yazılır və yüksək keyfiyyətli görünür, lakin reallıqda düşünülmüş təhlil olmadan onlar yalnız yanıltıcı ola bilər, real problemləri keyfiyyətli görünən zibil məzmunu ilə əvəz edə bilər.
Curl layihəsi yeni zəifliklərin müəyyən edilməsi üçün mükafatlar ödəyir və artıq potensial problemlərlə bağlı 415 hesabat alıb, onlardan yalnız 64-ü zəiflik, 77-si isə təhlükəsizliklə bağlı olmayan səhvlər kimi təsdiqlənib. Beləliklə, bütün hesabatların 66% -i heç bir faydalı məlumat ehtiva etmədi və yalnız faydalı bir şeyə xərclənə bilən tərtibatçıların vaxtını aldı.
Tərtibatçılar faydasız hesabatları təhlil etmək və orada olan məlumatları bir neçə dəfə təkrar yoxlamaq üçün çox vaxt sərf etməyə məcbur olurlar, çünki dizaynın xarici keyfiyyəti məlumatlara əlavə inam yaradır və tərtibatçının nəyisə səhv başa düşməsi hissi yaranır. Digər tərəfdən, belə bir hesabatın yaradılması ərizəçidən minimal zəhmət tələb edir, o, real problemin olub-olmadığını yoxlamaqdan çəkinmir, sadəcə olaraq mükafat almaq uğrunda mübarizədə bəxt ümidi ilə AI köməkçilərindən alınan məlumatları kor-koranə kopyalayır.
Belə zibil hesabatlarının iki nümunəsi verilmişdir. Təhlükəli Oktyabr zəifliyi (CVE-2023-38545) haqqında məlumatın planlaşdırılan açıqlanmasından bir gün əvvəl Hackerone vasitəsilə düzəlişi olan yamağın ictimaiyyət üçün əlçatan olması barədə hesabat göndərildi. Əslində, hesabatda oxşar problemlər haqqında faktlar və Google-un süni intellekt üzrə köməkçisi Bard tərəfindən tərtib edilmiş keçmiş zəifliklər haqqında ətraflı məlumatların fraqmentləri var idi. Nəticədə məlumat yeni və aktual görünürdü və reallıqla heç bir əlaqəsi yox idi.
İkinci misal dekabrın 28-də WebSocket işləyicisində bufer daşması ilə bağlı alınan mesaja aiddir, o, artıq Hackerone vasitəsilə müxtəlif layihələrə zəifliklər barədə məlumat vermiş istifadəçi tərəfindən göndərilir. Problemin təkrar istehsalı metodu kimi hesabatda strcpy ilə surət çıxararkən istifadə olunan buferin ölçüsündən daha böyük dəyərə malik dəyişdirilmiş sorğunun ötürülməsi ilə bağlı ümumi sözlər daxil edilmişdir. Hesabatda həmçinin düzəliş nümunəsi (strcpy-nin strncpy ilə əvəz edilməsi nümunəsi) verilmiş və ərizəçinin fikrincə, xətanın olduğu “strcpy(keyval, randstr)” kod xəttinə keçid göstərilmişdir.
Tərtibatçı hər şeyi üç dəfə iki dəfə yoxladı və heç bir problem tapmadı, lakin hesabat inamla yazıldığından və hətta bir düzəliş də olduğundan, haradasa nəyinsə çatışmadığı hissi var idi. Tədqiqatçının strcpy çağırışından əvvəl mövcud olan açıq ölçü yoxlamasını necə keçə bildiyini və açar buferin ölçüsünün oxunan məlumatların ölçüsündən necə az olduğunu aydınlaşdırmaq cəhdi ətraflı, lakin əlavə məlumat daşımayan izahatlara səbəb oldu. Bu, yalnız xüsusi Curl kodu ilə əlaqəli olmayan bufer daşmasının aşkar ümumi səbəblərini çeynədi. Cavablar süni intellekt üzrə köməkçi ilə ünsiyyəti xatırladırdı və problemin tam olaraq necə özünü göstərdiyini öyrənmək üçün mənasız cəhdlərə yarım gün sərf etdikdən sonra tərtibatçı nəhayət əmin oldu ki, əslində heç bir boşluq yoxdur.
Mənbə: opennet.ru