Beirniadodd Daniel Stenberg, awdur cyfleustodau ar gyfer derbyn ac anfon data dros y cyrl rhwydwaith, y defnydd o offer AI wrth greu adroddiadau bregusrwydd. Mae adroddiadau o'r fath yn cynnwys gwybodaeth fanwl, wedi'u hysgrifennu mewn iaith arferol ac yn edrych o ansawdd uchel, ond heb ddadansoddiad meddylgar mewn gwirionedd gallant ond fod yn gamarweiniol, gan ddisodli problemau gwirioneddol gyda chynnwys sothach sy'n edrych o ansawdd.
Mae prosiect Curl yn talu gwobrau am nodi gwendidau newydd ac mae eisoes wedi derbyn 415 o adroddiadau am broblemau posibl, a dim ond 64 ohonynt a gadarnhawyd fel gwendidau a 77 fel bygiau nad ydynt yn ymwneud Γ’ diogelwch. Felly, nid oedd 66% o'r holl adroddiadau yn cynnwys unrhyw wybodaeth ddefnyddiol a dim ond yn cymryd amser oddi wrth ddatblygwyr y gellid bod wedi'i dreulio ar rywbeth defnyddiol.
Mae datblygwyr yn cael eu gorfodi i wastraffu llawer o amser yn dosrannu adroddiadau diwerth ac yn gwirio'r wybodaeth sydd ynddo sawl gwaith, gan fod ansawdd allanol y dyluniad yn creu hyder ychwanegol yn y wybodaeth ac mae teimlad bod y datblygwr wedi camddeall rhywbeth. Ar y llaw arall, mae cynhyrchu adroddiad o'r fath yn gofyn am ychydig iawn o ymdrech gan yr ymgeisydd, nad yw'n trafferthu gwirio am broblem wirioneddol, ond yn syml yn copΓ―o'r data a dderbyniwyd gan gynorthwywyr AI yn ddall, gan obeithio am lwc yn y frwydr i dderbyn gwobr.
Rhoddir dwy enghraifft o adroddiadau sbwriel o'r fath. Y diwrnod cyn y datgeliad arfaethedig o wybodaeth am fregusrwydd peryglus mis Hydref (CVE-2023-38545), anfonwyd adroddiad trwy Hackerone bod y darn gyda'r atgyweiriad wedi dod ar gael i'r cyhoedd. Mewn gwirionedd, roedd yr adroddiad yn cynnwys cymysgedd o ffeithiau am broblemau tebyg a phytiau o wybodaeth fanwl am wendidau'r gorffennol a luniwyd gan Fardd Cynorthwyol AI Google. O ganlyniad, roedd y wybodaeth yn edrych yn newydd ac yn berthnasol, ac nid oedd ganddi unrhyw gysylltiad Γ’ realiti.
Mae'r ail enghraifft yn ymwneud Γ’ neges a dderbyniwyd ar Ragfyr 28 am orlif byffer yn y triniwr WebSocket, a anfonwyd gan ddefnyddiwr a oedd eisoes wedi hysbysu amrywiol brosiectau am wendidau trwy Hackerone. Fel dull o atgynhyrchu'r broblem, roedd yr adroddiad yn cynnwys geiriau cyffredinol am basio cais wedi'i addasu gyda gwerth mwy na maint y byffer a ddefnyddir wrth gopΓ―o Γ’ strcpy. Roedd yr adroddiad hefyd yn darparu enghraifft o gywiriad (enghraifft o ddisodli strcpy gyda strncpy) ac yn nodi cyswllt i linell y cod βstrcpy(keyval, randstr)β, a oedd, yn Γ΄l yr ymgeisydd, yn cynnwys gwall.
Gwiriodd y datblygwr bopeth deirgwaith ac ni ddaeth o hyd i unrhyw broblemau, ond gan fod yr adroddiad wedi'i ysgrifennu'n hyderus a hyd yn oed yn cynnwys cywiriad, roedd teimlad bod rhywbeth ar goll yn rhywle. Arweiniodd ymgais i egluro sut y llwyddodd yr ymchwilydd i osgoi'r gwiriad maint penodol a oedd yn bresennol cyn yr alwad strcpy a sut y daeth maint y byffer bysell yn llai na maint y data a ddarllenwyd at esboniadau manwl, ond heb fod yn cario gwybodaeth ychwanegol. mai dim ond cnoi ar achosion cyffredin amlwg gorlif byffer nad ydynt yn gysylltiedig Γ’ chod Curl penodol. Roedd yr atebion yn atgoffa rhywun o gyfathrebu Γ’ chynorthwyydd AI, ac ar Γ΄l treulio hanner diwrnod ar ymdrechion dibwrpas i ddarganfod yn union sut mae'r broblem yn amlygu ei hun, roedd y datblygwr yn argyhoeddedig o'r diwedd nad oedd unrhyw fregusrwydd mewn gwirionedd.
Ffynhonnell: opennet.ru