Daniel Stenberg, skriuwer fan in hulpprogramma foar it ûntfangen en ferstjoeren fan gegevens oer de netwurkkrullen, bekritiseare it gebrûk fan AI-ark by it meitsjen fan kwetsberheidsrapporten. Sokke rapporten befetsje detaillearre ynformaasje, binne skreaun yn normale taal en sjogge heechweardich, mar sûnder trochtochte analyze yn 'e realiteit kinne se allinich misliedend wêze, it ferfangen fan echte problemen mei kwaliteit-sykjende ôffalynhâld.
It Curl-projekt betellet beleanningen foar it identifisearjen fan nije kwetsberens en hat al 415 rapporten krigen fan potensjele problemen, wêrfan allinich 64 waarden befêstige as kwetsberens en 77 as net-feiligensbugs. Sa befette 66% fan alle rapporten gjin nuttige ynformaasje en naam allinich tiid ôf fan ûntwikkelders dy't koe wurde bestege oan wat nuttichs.
Untwikkelders wurde twongen om in protte tiid te fergriemen mei it parsearjen fan nutteleaze rapporten en it dûbele kontrolearjen fan de ynformaasje dy't dêr ferskate kearen is, om't de eksterne kwaliteit fan it ûntwerp ekstra fertrouwen skept yn 'e ynformaasje en d'r is it gefoel dat de ûntwikkelder wat ferkeard begrepen hat. Oan 'e oare kant fereasket it generearjen fan sa'n rapport minimale ynspanning fan 'e oanfreger, dy't net lestich makket om te kontrolearjen op in echt probleem, mar gewoan blyn kopiearret de gegevens ûntfongen fan AI-assistinten, yn' e hope op gelok yn 'e striid om in beleanning te ûntfangen.
Twa foarbylden fan sokke jiskefetmeldingen wurde jûn. De dei foar de plande iepenbiering fan ynformaasje oer de gefaarlike kwetsberens fan oktober (CVE-2023-38545), waard in rapport stjoerd fia Hackerone dat de patch mei de fix iepenbier beskikber wurden wie. Yn feite, it rapport befette in mingsel fan feiten oer ferlykbere problemen en snippets fan detaillearre ynformaasje oer ferline kwetsberens gearstald troch Google's AI assistint Bard. As gefolch, de ynformaasje seach nij en relevant, en hie gjin ferbining mei de realiteit.
It twadde foarbyld giet oer in berjocht ûntfongen op desimber 28 oer in buffer oerstreaming yn de WebSocket handler, stjoerd troch in brûker dy't hie al ynformearre ferskate projekten oer kwetsberens fia Hackerone. As metoade foar it reprodusearjen fan it probleem omfette it rapport algemiene wurden oer it trochjaan fan in wizige fersyk mei in wearde grutter dan de grutte fan 'e buffer brûkt by it kopiearjen mei strcpy. It rapport joech ek in foarbyld fan in korreksje (in foarbyld fan it ferfangen fan strcpy mei strncpy) en joech in keppeling oan nei de rigel fan koade "strcpy(keyval, randstr)", dy't neffens de oanfreger in flater befette.
De ûntwikkelder hat alles trije kear dûbel kontrolearre en gjin problemen fûn, mar om't it rapport mei fertrouwen skreaun is en sels in korreksje befette, wie d'r it gefoel dat earne wat mist. In besykjen om te ferdúdlikjen hoe't de ûndersiker it slagge om de eksplisite grutte kontrôle oanwêzich foar de strcpy-oprop te omgean en hoe't de grutte fan 'e keyvalbuffer minder die bliken te wêzen as de grutte fan' e lêzen gegevens late ta detaillearre, mar gjin ekstra ynformaasje, ferklearrings. dat allinnich kauwen op 'e foar de hân lizzende mienskiplike oarsaken fan buffer oerstreaming net yn ferbân mei spesifike Curl koade. De antwurden diene tinken oan kommunikaasje mei in AI-assistint, en nei in heale dei te besteegjen oan nutteleaze besykjen om út te finen hoe't it probleem krekt manifesteart, wie de ûntwikkelder úteinlik oertsjûge dat d'r yn feite gjin kwetsberens wie.
Boarne: opennet.ru