Դանիել Ստենբերգը, որը ցանցի ոլորման միջոցով տվյալներ ստանալու և ուղարկելու օգտակար ծրագրի հեղինակն է, քննադատել է AI գործիքների օգտագործումը խոցելիության մասին հաշվետվություններ ստեղծելիս: Նման զեկույցները ներառում են մանրամասն տեղեկատվություն, գրված են նորմալ լեզվով և որակյալ տեսք ունեն, բայց առանց մտածված վերլուծության իրականում դրանք կարող են միայն մոլորեցնող լինել՝ իրական խնդիրները փոխարինելով բարձրորակ տեսք ունեցող աղբի պարունակությամբ:
Curl նախագիծը պարգևներ է վճարում նոր խոցելիության հայտնաբերման համար և արդեն ստացել է պոտենցիալ խնդիրների 415 զեկույց, որոնցից միայն 64-ը հաստատվել են որպես խոցելիություն, իսկ 77-ը՝ որպես ոչ անվտանգության սխալ: Այսպիսով, բոլոր զեկույցների 66%-ը չի պարունակում որևէ օգտակար տեղեկատվություն և միայն ժամանակ է խլել ծրագրավորողներից, որը կարող էր ծախսվել ինչ-որ օգտակար բանի վրա:
Մշակողները ստիպված են շատ ժամանակ վատնել՝ անօգուտ հաշվետվություններ վերլուծելու և այնտեղ պարունակվող տեղեկատվությունը մի քանի անգամ կրկնակի ստուգելու համար, քանի որ դիզայնի արտաքին որակը լրացուցիչ վստահություն է ստեղծում տեղեկատվության նկատմամբ, և զգացվում է, որ մշակողը ինչ-որ բան սխալ է հասկացել: Մյուս կողմից, նման զեկույց ստեղծելը նվազագույն ջանքեր է պահանջում դիմորդից, ով չի անհանգստանում իրական խնդրի ստուգման համար, այլ պարզապես կուրորեն պատճենում է AI-ի օգնականներից ստացված տվյալները՝ հույս ունենալով, որ բախտ կունենա պարգև ստանալու պայքարում:
Տրված են աղբի նման հաշվետվությունների երկու օրինակ։ Հոկտեմբերյան վտանգավոր խոցելիության (CVE-2023-38545) մասին տեղեկատվության ծրագրված բացահայտումից մեկ օր առաջ Hackerone-ի միջոցով հաղորդում է ուղարկվել այն մասին, որ շտկումով կարկատելը հանրությանը հասանելի է դարձել: Փաստորեն, զեկույցը պարունակում էր նմանատիպ խնդիրների մասին փաստերի խառնուրդ և անցյալի խոցելիության մասին մանրամասն տեղեկությունների հատվածներ, որոնք կազմվել էին Google-ի AI օգնական Բարդի կողմից: Արդյունքում տեղեկությունը նոր ու տեղին տեսք ուներ և իրականության հետ կապ չուներ։
Երկրորդ օրինակը վերաբերում է դեկտեմբերի 28-ին ստացված հաղորդագրությանը `WebSocket- ի բեռնաթափման բուֆերային արտահոսքի մասին, որը ուղարկվել է մի օգտագործողի կողմից, որն արդեն տեղեկացրել էր հակերության միջոցով խոցելիության մասին տարբեր նախագծեր: Որպես խնդիրը վերարտադրելու մեթոդ, զեկույցում ներառված էին փոփոխված հայցադիմումի ընդունման ընդհանուր բառեր `ավելի մեծ արժեքով ավելի մեծ արժեքով, որն օգտագործվում է strcpy- ի կողմից օգտագործվող բուֆերի չափից: Զեկույցը նաեւ ուղղման օրինակ է տրամադրել (Strcpy- ի կողմից Strcpy փոխարինելու օրինակ) եւ ցույց տվեց հղում «Strcpy (Keyval, Randstr) կոդը, որը, դիմումատուի համաձայն, սխալ է պարունակում:
Ծրագիրը կրկնակի ստուգեց ամեն ինչ երեք անգամ եւ որեւէ խնդիր չգտավ, բայց քանի որ զեկույցը վստահորեն գրվել է եւ նույնիսկ շտկել, զգացողություն, որ ինչ-որ տեղ պակասում էր: Հստակեցնելու փորձ, թե ինչպես է հետազոտողին հաջողվել շրջանցել բացահայտ չափի ստուգումը, որը ներկայումս ներկայացված է Strcpy Call- ի առջեւ եւ ինչպես պարզվել է, որ կարդացած տվյալների չափը, բացատրություններ որը միայն ծամել է բուֆերային արտահոսքի ակնհայտ ընդհանուր պատճառները, որոնք կապված չեն կոնկրետ Curl կոդի հետ: Պատասխանները հիշեցնում էին AI- ի օգնականի հետ շփվելը եւ կես օրվա ընթացքում կես օր անցկացնելուց հետո պարզելու համար, թե ինչպես է խնդիրը դրսեւորվում ինքն իրեն, մշակողը վերջապես համոզված էր, որ իրականում որեւէ խոցելիություն է առաջացել:
Source: opennet.ru