Daniel Stenberg, autore di una utilità per riceve è mandà dati nantu à u curl di a rete, hà criticatu l'usu di l'arnesi AI quandu creanu rapporti di vulnerabilità. Tali rapporti includenu infurmazioni detallati, sò scritti in lingua nurmale è parenu d'alta qualità, ma senza un analisi pensativu in a realtà ponu esse solu ingannatu, rimpiazzà i prublemi veri cù cuntenutu di basura di alta qualità.
U prughjettu Curl paga ricumpensa per l'identificazione di novi vulnerabili è hà digià ricevutu 415 rapporti di prublemi potenziali, di quale solu 64 sò stati cunfirmati cum'è vulnerabili è 77 cum'è bugs non-security. Cusì, u 66% di tutti i rapporti ùn cuntene micca infurmazioni utili è solu pigliò u tempu da i sviluppatori chì puderianu esse passatu per qualcosa utile.
I sviluppatori sò furzati à perdi assai tempu per analizà rapporti inutili è cuntrollà duie volte l'infurmazioni cuntenute quì parechje volte, postu chì a qualità esterna di u disignu crea una fiducia supplementaria in l'infurmazioni è ci hè una sensazione chì u sviluppatore hà malinterpretatu qualcosa. Per d 'altra banda, a generazione di un tali rapportu richiede un minimu sforzu da u candidatu, chì ùn si preoccupa micca di verificà un veru prublema, ma simpricimenti copia in cieca i dati ricevuti da l'assistenti AI, sperendu a furtuna in a lotta per riceve una ricumpensa.
Dui esempi di tali rapporti di basura sò datu. U ghjornu prima di a divulgazione prevista di l'infurmazioni nantu à a periculosa vulnerabilità d'ottobre (CVE-2023-38545), un rapportu hè statu mandatu via Hackerone chì u patch cù a correzione era diventatu publicamente dispunibule. In fattu, u rapportu cuntene una mistura di fatti nantu à prublemi simili è frammenti di informazioni dettagliate nantu à e vulnerabilità passate compilate da l'assistente AI di Google Bard. In u risultatu, l'infurmazioni parevanu novi è pertinenti, è ùn avianu micca cunnessione cù a realità.
U sicondu esempiu cuncerna un missaghju ricevutu u 28 di dicembre nantu à un buffer overflow in u gestore WebSocket, mandatu da un utilizatore chì avia digià infurmatu diversi prughjetti nantu à e vulnerabilità attraversu Hackerone. Cum'è un metudu di ripruduce u prublema, u rapportu includeva parolle generale nantu à passà una dumanda mudificata cù un valore più grande di a dimensione di u buffer utilizatu quandu copia cù strcpy. U rapportu hà ancu furnitu un esempiu di correzione (un esempiu di rimpiazzà strcpy cù strncpy) è hà indicatu un ligame à a linea di codice "strcpy(keyval, randstr)", chì, sicondu u candidatu, cuntene un errore.
U sviluppatore hà verificatu tuttu trè volte è ùn hà micca truvatu nisun prublemu, ma postu chì u rapportu hè statu scrittu cun fiducia è ancu cuntene una correzione, ci era un sensu chì qualcosa mancava in un locu. Un tentativu di chjarificà cumu l'investigatore hà sappiutu per aggirari u cuntrollu di dimensione esplicitu presente prima di a chjama strcpy è cumu a dimensione di u buffer keyval hè stata menu di a dimensione di i dati letti hà purtatu à dettagliate, ma senza purtendu infurmazioni supplementari, spiegazioni. chì solu masticà nantu à i causi cumuni evidenti di buffer overflow micca liata à codice Curl specifichi. I risposti si ricordavanu di cumunicà cù un assistente AI, è dopu avè passatu a meza ghjurnata in tentativi inutile di scopre esattamente cumu si manifesta u prublema, u sviluppatore hè stata infine cunvinta chì ùn ci era in fattu micca vulnerabilità.
Source: opennet.ru