Chàin Daniel Stenberg, ùghdar goireas airson dàta fhaighinn agus a chuir thairis air an lìonra curl, cleachdadh innealan AI nuair a bha iad a’ cruthachadh aithisgean so-leòntachd. Tha na h-aithisgean sin a’ toirt a-steach fiosrachadh mionaideach, air an sgrìobhadh ann an cànan àbhaisteach agus a’ coimhead de chàileachd àrd, ach às aonais mion-sgrùdadh smaoineachail ann an da-rìribh chan urrainn dhaibh a bhith ach meallta, a’ dol an àite fìor dhuilgheadasan le susbaint sgudail àrd-inbhe.
Bidh am pròiseact Curl a’ pàigheadh dhuaisean airson a bhith a’ comharrachadh so-leòntachd ùra agus tha e air 415 aithris fhaighinn mu dhuilgheadasan a dh’ fhaodadh a bhith ann, agus cha deach ach 64 dhiubh sin a dhearbhadh mar so-leòntachd agus 77 mar bhiteagan neo-tèarainteachd. Mar sin, cha robh fiosrachadh feumail sam bith ann an 66% de na h-aithisgean agus cha tug iad ach ùine air falbh bho luchd-leasachaidh a dh’ fhaodadh a bhith air a chaitheamh air rudeigin feumail.
Thathas a’ toirt air luchd-leasachaidh tòrr ùine a chaitheamh a’ parsadh aithisgean gun fheum agus a’ sgrùdadh an fhiosrachaidh a tha ann grunn thursan, leis gu bheil càileachd taobh a-muigh an dealbhaidh a’ cruthachadh misneachd a bharrachd san fhiosrachadh agus gu bheil faireachdainn ann nach do thuig an leasaiche rudeigin. Air an làimh eile, chan fheum an tagraiche ach glè bheag oidhirp a thoirt seachad airson a leithid de dh’ aithisg, nach eil a’ cur dragh air a bhith a’ coimhead airson fìor dhuilgheadas, ach gu sìmplidh a’ dèanamh lethbhreac dall den dàta a fhuaireadh bho luchd-cuideachaidh AI, an dòchas fortan san strì airson duais fhaighinn.
Tha dà eisimpleir de dh'aithisgean sgudail mar sin air an toirt seachad. An latha mus deach fiosrachadh fhoillseachadh mu dheidhinn so-leòntachd cunnartach san Dàmhair (CVE-2023-38545), chaidh aithisg a chuir tro Hackerone gun robh am paiste leis an fhuasgladh ri fhaighinn gu poblach. Gu dearbh, bha measgachadh de dh'fhiosrachadh anns an aithisg mu dhuilgheadasan coltach ris agus criomagan de fhiosrachadh mionaideach mu chugallachd san àm a dh'fhalbh air a chur ri chèile le Bàrd neach-cuideachaidh AI Google. Mar thoradh air an sin, bha am fiosrachadh a’ coimhead ùr agus buntainneach, agus cha robh ceangal sam bith aige ri fìrinn.
Tha an dàrna eisimpleir a’ buntainn ri teachdaireachd a fhuaireadh air 28 Dùbhlachd mu thar-shruth bufair anns an inneal-làimhseachaidh WebSocket, air a chuir le neach-cleachdaidh a bha mar-thà air fiosrachadh a thoirt do ghrunn phròiseactan mu chugallachd tro Hackerone. Mar dhòigh air an duilgheadas ath-riochdachadh, bha an aithisg a’ toirt a-steach faclan coitcheann mu bhith a’ dol seachad air iarrtas atharraichte le luach nas motha na meud a’ bhufair a thathar a’ cleachdadh nuair a thathar a’ dèanamh lethbhreac le strcpy. Thug an aithisg cuideachd seachad eisimpleir de cheartachadh (eisimpleir de bhith a’ cur strncpy an àite strcpy) agus chomharraich e ceangal ris an loidhne còd “strcpy (keyval, randstr)”, anns an robh, a rèir an tagraiche, mearachd.
Rinn an leasaiche sgrùdadh dùbailte air a h-uile càil trì tursan agus cha do lorg e duilgheadas sam bith, ach leis gun deach an aithisg a sgrìobhadh le misneachd agus eadhon ceartachadh ann, bha faireachdainn ann gu robh rudeigin a dhìth an àiteigin. Mar thoradh air oidhirp air soilleireachadh mar a chaidh aig an neach-rannsachaidh air faighinn seachad air an sgrùdadh meud soilleir a bha an làthair ron ghairm strcpy agus mar a thionndaidh meud bufair iuchair nas lugha na meud an dàta a chaidh a leughadh air leantainn gu mìneachadh mionaideach, ach gun a bhith a’ giùlan fiosrachadh a bharrachd. nach robh ach a’ cagnadh air na h-adhbharan cumanta follaiseach airson tar-shruth bufair nach robh co-cheangailte ri còd Curl sònraichte. Bha na freagairtean mar chuimhneachan air conaltradh le neach-cuideachaidh AI, agus às deidh dha leth latha a chaitheamh air oidhirpean gun phuing gus faighinn a-mach dìreach mar a tha an duilgheadas ga nochdadh fhèin, bha an leasaiche mu dheireadh cinnteach nach robh so-leòntachd ann.
Source: fosgailtenet.ru