Daniel Stenberg, otè yon sèvis piblik pou resevwa ak voye done sou boukl rezo a, kritike itilizasyon zouti AI lè yo kreye rapò vilnerabilite. Rapò sa yo gen ladan enfòmasyon detaye, yo ekri nan lang nòmal epi yo sanble bon jan kalite, men san analiz reflechi an reyalite yo ka sèlman twonpe, ranplase pwoblèm reyèl ak kontni fatra ki gen bon jan kalite.
Pwojè Curl la peye rekonpans pou idantifye nouvo frajilite yo e li deja resevwa 415 rapò sou pwoblèm potansyèl, nan yo sèlman 64 yo te konfime kòm frajilite ak 77 kòm ensèk ki pa sekirite. Kidonk, 66% nan tout rapò pa t gen okenn enfòmasyon itil epi sèlman te pran tan nan men devlopè ki te kapab depanse nan yon bagay itil.
Devlopè yo fòse yo gaspiye anpil tan analize rapò initil ak doub-tcheke enfòmasyon ki genyen la plizyè fwa, depi bon jan kalite a ekstèn nan konsepsyon an kreye plis konfyans nan enfòmasyon an epi gen yon santiman ke pwomotè a mal konprann yon bagay. Nan lòt men an, jenere yon rapò sa a mande pou yon efò minim nan men aplikan an, ki moun ki pa deranje tcheke pou yon pwoblèm reyèl, men tou senpleman je fèmen kopi done yo resevwa nan men asistan AI, espere ke gen chans nan lit la resevwa yon rekonpans.
Yo bay de egzanp rapò fatra sa yo. Jou a anvan divilgasyon enfòmasyon yo te planifye sou vilnerabilite danjere Oktòb la (CVE-2023-38545), yo te voye yon rapò atravè Hackerone ke patch la ak ranje a te vin disponib piblikman. An reyalite, rapò a te genyen yon melanj de reyalite sou pwoblèm menm jan an ak snippets nan enfòmasyon detaye sou vilnerabilite sot pase yo konpile pa asistan AI Google la Bard. Kòm yon rezilta, enfòmasyon yo te sanble nouvo ak enpòtan, epi yo pa te gen okenn koneksyon ak reyalite.
Dezyèm egzanp lan konsène yon mesaj ki te resevwa nan dat 28 desanm sou yon debòde tanpon nan gestionnaire WebSocket la, ki te voye pa yon itilizatè ki te deja enfòme plizyè pwojè sou frajilite atravè Hackerone. Kòm yon metòd pou repwodui pwoblèm nan, rapò a te gen ladann mo jeneral sou pase yon demann modifye ak yon valè ki pi gwo pase gwosè a nan tanpon itilize lè kopi ak strcpy. Rapò a tou bay yon egzanp yon koreksyon (yon egzanp pou ranplase strcpy ak strncpy) epi li endike yon lyen nan liy kòd "strcpy(keyval, randstr)", ki, dapre aplikan an, gen yon erè.
Pwomotè a te tcheke tout bagay twa fwa epi li pa t jwenn okenn pwoblèm, men depi rapò a te ekri ak konfyans e menm te gen yon koreksyon, te gen yon santiman ke yon bagay te manke yon kote. Yon tantativ pou klarifye ki jan chèchè a jere yo kontoune chèk gwosè eksplisit prezan anvan apèl la strcpy ak ki jan gwosè a nan tanpon keyval la te vin pi piti pase gwosè a nan done yo li te mennen nan detaye, men pa pote plis enfòmasyon, eksplikasyon. ki sèlman moulen sou kòz yo evidan komen nan tanpon debòde pa gen rapò ak kòd Curl espesifik. Repons yo te okoumansman de kominike ak yon asistan AI, epi apre yo fin pase mwatye yon jounen nan tantativ initil pou chèche konnen egzakteman ki jan pwoblèm nan manifeste tèt li, pwomotè a te finalman konvenki ke pa te gen an reyalite pa gen okenn vilnerabilite.
Sous: opennet.ru