Daniel Stenberg, marubucin mai amfani don karɓa da aikawa da bayanai akan hanyar sadarwar yanar gizo, ya soki amfani da kayan aikin AI lokacin ƙirƙirar rahotanni masu rauni. Irin waɗannan rahotanni sun haɗa da cikakkun bayanai, an rubuta su cikin yare na al'ada kuma suna da inganci, amma ba tare da bincike mai zurfi ba a gaskiya ba za su iya zama yaudara kawai ba, maye gurbin ainihin matsalolin da abubuwan sharar gida masu kyau.
Aikin Curl yana ba da lada don gano sabbin lahani kuma ya riga ya sami rahotanni 415 na matsalolin matsalolin, wanda 64 ne kawai aka tabbatar a matsayin rauni kuma 77 a matsayin kwarorin da ba na tsaro ba. Don haka, 66% na duk rahotanni ba su ƙunshi kowane bayani mai amfani ba kuma kawai sun ɗauki lokaci daga masu haɓakawa waɗanda za a iya kashe su akan wani abu mai amfani.
Ana tilasta masu haɓakawa su ɓata lokaci mai yawa don yin la'akari da rahotannin da ba su da amfani da kuma bincika bayanan da ke ciki sau biyu, tun da ingancin ƙirar waje yana haifar da ƙarin amincewa ga bayanin kuma akwai jin cewa mai haɓaka ya fahimci wani abu. A gefe guda, samar da irin wannan rahoto yana buƙatar ƙaramin ƙoƙari daga mai nema, wanda ba ya damu da bincika matsala ta ainihi, amma kawai a makance yana kwafi bayanan da aka karɓa daga mataimakan AI, yana fatan samun sa'a a cikin gwagwarmayar samun lada.
An bayar da misalai biyu na irin wannan rahoton sharar. Kwana kafin shirin bayyana bayanai game da haɗarin Oktoba mai haɗari (CVE-2023-38545), an aika da rahoto ta hanyar Hackerone cewa facin tare da gyara ya zama sananne a bainar jama'a. A haƙiƙa, rahoton ya ƙunshi cakuda bayanai game da matsaloli iri ɗaya da snippets na cikakkun bayanai game da raunin da mataimaki na Google na AI Bard ya tattara. A sakamakon haka, bayanin ya yi kama da sababbin kuma masu dacewa, kuma ba su da dangantaka da gaskiya.
Misali na biyu ya shafi saƙon da aka karɓa ranar 28 ga Disamba game da buffer ambaliya a cikin mai sarrafa WebSocket, wanda mai amfani ya aiko wanda ya riga ya sanar da ayyuka daban-daban game da raunin da ya faru ta hanyar Hackerone. A matsayin hanyar sake haifar da matsalar, rahoton ya ƙunshi kalmomi gaba ɗaya game da ƙaddamar da buƙatun da aka gyara tare da ƙima mafi girma fiye da girman ma'ajin da aka yi amfani da shi lokacin yin kwafi tare da strcpy. Rahoton ya kuma ba da misali na gyara (misali na maye gurbin strcpy tare da strncpy) kuma ya nuna hanyar haɗi zuwa layin lambar "strcpy (keyval, randstr)", wanda, bisa ga mai nema, ya ƙunshi kuskure.
Mai haɓakawa ya bincika komai sau uku sau uku kuma bai sami matsala ba, amma tun da an rubuta rahoton da tabbaci har ma ya ƙunshi gyara, akwai jin cewa wani abu ya ɓace a wani wuri. Ƙoƙari na fayyace yadda mai binciken ya yi nasarar ketare ƙayyadaddun ƙididdigar girman da ake gabatarwa kafin kiran strcpy da kuma yadda girman maɓalli na keyval ya zama ƙasa da girman bayanan da aka karanta ya haifar da dalla-dalla, amma ba ɗaukar ƙarin bayani ba, bayanai. wanda kawai ya tauna akan fitattun dalilai na gama gari na buffer ambaliya ba tare da alaƙa da takamaiman lambar Curl ba. Amsoshin sun kasance suna tunawa da sadarwa tare da mataimaki na AI, kuma bayan shafe rabin yini a kan yunƙurin da ba su da ma'ana don gano ainihin yadda matsalar ke bayyana kanta, mai haɓakawa ya gamsu da cewa a gaskiya babu wani rauni.
source: budenet.ru