Daniel Stenberg, höfundur tóls til að taka á móti og senda gögn yfir nethringinn, gagnrýndi notkun gervigreindarverkfæra við gerð varnarleysisskýrslna. Slíkar skýrslur innihalda ítarlegar upplýsingar, eru skrifaðar á venjulegu tungumáli og líta vandaðar út, en án ígrundaðrar greiningar í raun og veru geta þær aðeins verið villandi og komið í stað raunverulegra vandamála fyrir vandað sorp.
Curl verkefnið greiðir verðlaun fyrir að bera kennsl á nýja veikleika og hefur þegar fengið 415 tilkynningar um hugsanleg vandamál, þar af voru aðeins 64 staðfestar sem veikleikar og 77 sem ekki öryggisvillur. Þannig innihéldu 66% allra skýrslna engar gagnlegar upplýsingar og tóku aðeins tíma frá forriturum sem hefði getað farið í eitthvað gagnlegt.
Hönnuðir neyðast til að eyða miklum tíma í að flokka gagnslausar skýrslur og tvítékka upplýsingarnar sem þar er að finna nokkrum sinnum, þar sem ytri gæði hönnunarinnar skapa aukið traust á upplýsingum og það er tilfinning um að verktaki hafi misskilið eitthvað. Á hinn bóginn krefst lágmarks fyrirhafnar umsækjanda að búa til slíka skýrslu, sem nennir ekki að athuga hvort raunverulegt vandamál sé, heldur einfaldlega afritar í blindni gögnin sem berast frá AI aðstoðarmönnum í von um heppni í baráttunni við að fá verðlaun.
Tvö dæmi eru nefnd um slíkar sorpskýrslur. Daginn fyrir fyrirhugaða birtingu upplýsinga um hættulega október veikleikann (CVE-2023-38545), var tilkynning send í gegnum Hackerone um að plásturinn með lagfæringunni væri orðinn aðgengilegur almenningi. Reyndar innihélt skýrslan blöndu af staðreyndum um svipuð vandamál og brot af ítarlegum upplýsingum um fyrri veikleika sem teknar voru saman af AI aðstoðarmanni Google, Bard. Fyrir vikið virtust upplýsingarnar nýjar og viðeigandi og höfðu engin tengsl við raunveruleikann.
Annað dæmið varðar skilaboð sem barst 28. desember um yfirflæði biðminni í WebSocket meðhöndluninni, send af notanda sem hafði þegar upplýst ýmis verkefni um veikleika í gegnum Hackerone. Sem aðferð til að endurskapa vandamálið innihélt skýrslan almenn orð um að senda breytta beiðni með gildi sem er stærra en stærð biðminni sem notað er þegar afritað er með strcpy. Í skýrslunni kom einnig fram dæmi um leiðréttingu (dæmi um að skipta út strcpy fyrir strncpy) og benti á tengil á kóðalínuna „strcpy(keyval, randstr)“ sem, að sögn kæranda, innihélt villu.
Framkvæmdaraðilinn tvítékkaði allt þrisvar sinnum og fann engin vandamál, en þar sem skýrslan var skrifuð af öryggi og innihélt jafnvel leiðréttingu, var tilfinning um að eitthvað vantaði einhvers staðar. Tilraun til að skýra hvernig rannsakanda tókst að komast framhjá skýrri stærðarathugun sem var fyrir strcpy símtalið og hvernig stærð lyklavals biðminni reyndist vera minni en stærð lesinna gagna leiddi til ítarlegra, en báru ekki viðbótarupplýsingar, skýringar sem aðeins tuggði á augljósum algengum orsökum biðminniflæðis sem ekki tengist sérstökum Curl kóða. Svörin minntu á samskipti við aðstoðarmann gervigreindar og eftir að hafa eytt hálfum degi í tilgangslausar tilraunir til að komast að því nákvæmlega hvernig vandamálið lýsir sér var verktaki loksins sannfærður um að það væri í raun ekkert varnarleysi.
Heimild: opennet.ru