Si Daniel Stenberg, tagsulat sa usa ka utility alang sa pagdawat ug pagpadala sa datos sa network curl, gisaway ang paggamit sa mga gamit sa AI sa paghimo og mga taho sa kahuyang. Ang ingon nga mga taho naglakip sa detalyado nga kasayuran, gisulat sa normal nga sinultihan ug tan-awon nga taas ang kalidad, apan kung wala’y mahunahunaon nga pag-analisar sa tinuud mahimo ra sila nga makapahisalaag, nga gipulihan ang tinuod nga mga problema sa hitsura sa kalidad nga sulud sa basura.
Ang proyekto sa Curl nagbayad og mga ganti alang sa pag-ila sa bag-ong mga kahuyangan ug nakadawat na sa 415 nga mga taho sa mga potensyal nga mga problema, diin 64 lamang ang nakumpirma nga mga kahuyangan ug 77 isip mga non-security bug. Sa ingon, 66% sa tanan nga mga taho wala maglangkob sa bisan unsang mapuslanon nga kasayuran ug gikuha ra ang oras gikan sa mga developer nga mahimo’g gigasto sa usa ka butang nga mapuslanon.
Napugos ang mga developer nga mag-usik ug daghang oras sa pag-parse sa mga wala’y kapuslanan nga mga taho ug pag-double check sa kasayuran nga naa didto sa daghang mga higayon, tungod kay ang gawas nga kalidad sa disenyo nagmugna dugang nga pagsalig sa kasayuran ug adunay usa ka pagbati nga ang developer wala makasabut sa usa ka butang. Sa laing bahin, ang paghimo sa ingon nga taho nanginahanglan gamay nga paningkamot gikan sa aplikante, nga wala maghasol sa pagsusi alang sa usa ka tinuud nga problema, apan yano nga gikopya ang datos nga nadawat gikan sa mga katabang sa AI, naglaum nga swerte sa pakigbisog aron makadawat usa ka ganti.
Duha ka pananglitan sa maong mga basura ang gihatag. Ang adlaw sa wala pa ang giplano nga pagbutyag sa kasayuran bahin sa delikado nga pagkahuyang sa Oktubre (CVE-2023-38545), usa ka taho ang gipadala pinaagi sa Hackerone nga ang patch nga adunay ayo nahimong magamit sa publiko. Sa tinuud, ang taho adunay sulud nga sagol nga mga kamatuoran bahin sa parehas nga mga problema ug mga snippet sa detalyado nga kasayuran bahin sa nangaging mga kahuyangan nga giipon sa katabang sa AI sa Google nga si Bard. Ingon nga resulta, ang impormasyon tan-awon nga bag-o ug may kalabutan, ug walay koneksyon sa kamatuoran.
Ang ikaduha nga pananglitan mahitungod sa usa ka mensahe nga nadawat niadtong Disyembre 28 mahitungod sa usa ka buffer overflow sa WebSocket handler, nga gipadala sa usa ka user nga nagpahibalo na sa nagkalain-laing mga proyekto mahitungod sa mga kahuyangan pinaagi sa Hackerone. Isip usa ka paagi sa pagkopya sa problema, ang report naglakip sa kinatibuk-ang mga pulong mahitungod sa pagpasa sa usa ka giusab nga hangyo nga adunay usa ka bili nga mas dako pa kay sa gidak-on sa buffer nga gigamit sa pagkopya sa strcpy. Naghatag usab ang taho og usa ka pananglitan sa usa ka pagtul-id (usa ka pananglitan sa pag-ilis sa strcpy sa strncpy) ug gipakita ang usa ka link sa linya sa code nga "strcpy(keyval, randstr)", nga, sumala sa aplikante, adunay usa ka sayup.
Gi-double-check sa developer ang tanan tulo ka beses ug wala’y nakit-an nga mga problema, apan tungod kay ang taho gisulat nga masaligon ug adunay sulud nga pagtul-id, adunay gibati nga adunay nawala sa usa ka lugar. Usa ka pagsulay sa pagpatin-aw kon sa unsang paagi ang tigdukiduki nakahimo sa paglaktaw sa dayag nga gidak-on check karon sa wala pa ang strcpy tawag ug sa unsa nga paagi nga ang gidak-on sa keyval buffer nahimong ubos pa kay sa gidak-on sa basahon data mitultol ngadto sa detalyado, apan wala pagdala sa dugang nga impormasyon, mga pagpatin-aw nga nag-chewed lang sa klaro nga kasagarang mga hinungdan sa buffer overflow nga wala'y kalabutan sa piho nga Curl code. Ang mga tubag nagpahinumdum sa pagpakigsulti sa usa ka katabang sa AI, ug pagkahuman sa paggugol sa tunga sa adlaw sa wala’y kapuslanan nga mga pagsulay aron mahibal-an kung giunsa ang pagpadayag sa iyang kaugalingon, ang developer sa katapusan nakombinsir nga sa tinuud wala’y kahuyang.
Source: opennet.ru