Дэниел Стенберг, желі арқылы деректерді қабылдауға және жіберуге арналған утилитаның авторы осалдық туралы есептерді жасау кезінде AI құралдарын пайдалануды сынға алды. Мұндай есептер егжей-тегжейлі ақпаратты қамтиды, қалыпты тілде жазылған және жоғары сапалы көрінеді, бірақ шын мәнінде ойластырылған талдаусыз олар тек жаңылыстыруы мүмкін, шынайы мәселелерді сапалы көрінетін қоқыс мазмұнымен алмастырады.
Curl жобасы жаңа осалдықтарды анықтағаны үшін сыйақы төлейді және әлеуетті мәселелер туралы 415 есеп алды, оның тек 64-і осалдық және 77-сі қауіпсіздікке жатпайтын қателер ретінде расталды. Осылайша, барлық есептердің 66% ешқандай пайдалы ақпаратты қамтымады және тек пайдалы нәрсеге жұмсалуы мүмкін әзірлеушілердің уақытын алды.
Әзірлеушілер пайдасыз есептерді талдауға және ондағы ақпаратты бірнеше рет қайта тексеруге көп уақытты жоғалтуға мәжбүр, өйткені дизайнның сыртқы сапасы ақпаратқа қосымша сенімділік тудырады және әзірлеуші бір нәрсені дұрыс түсінбеген сияқты. Екінші жағынан, мұндай есепті жасау өтініш берушіден ең аз күш-жігерді қажет етеді, ол нақты мәселені тексеруге алаңдамайды, бірақ марапат алу үшін күресте сәттілікке үміттеніп, AI көмекшілерінен алынған деректерді соқыр түрде көшіреді.
Мұндай қоқыс есептерінің екі мысалы келтірілген. Қауіпті қазан осалдығы (CVE-2023-38545) туралы ақпараттың жоспарланған ашылуынан бір күн бұрын Hackerone арқылы түзетілген патч жалпыға қолжетімді болғаны туралы есеп жіберілді. Шын мәнінде, есепте ұқсас мәселелер туралы фактілердің қоспасы және Google компаниясының AI көмекшісі Бард құрастырған бұрынғы осалдықтар туралы егжей-тегжейлі ақпараттың үзінділері бар. Нәтижесінде ақпарат жаңа және өзекті болып көрінді және шындықпен байланысы болмады.
Екінші мысал әртүрлі жобаларды Hackerone арқылы осалдықтар туралы хабардар еткен пайдаланушы жіберген WebSocket өңдегішіндегі буфердің толып кетуі туралы 28 желтоқсанда алынған хабарламаға қатысты. Мәселені қайта шығару әдісі ретінде есепте strcpy көмегімен көшіру кезінде пайдаланылатын буфер өлшемінен үлкен мәні бар өзгертілген сұрауды беру туралы жалпы сөздер қамтылды. Сондай-ақ есепте түзетудің мысалы келтірілген (strcpy-ді strncpy-ге ауыстыру мысалы) және өтініш берушінің айтуынша, қате бар «strcpy(keyval, randstr)» код жолына сілтеме көрсетілген.
Әзірлеуші барлығын үш рет екі рет тексеріп, ешқандай проблемалар таппады, бірақ есеп сенімді түрде жазылғандықтан және тіпті түзетуді қамтитындықтан, бір жерде бірдеңе жетіспейтіндей сезім пайда болды. Зерттеушінің strcpy шақыруының алдында болатын нақты өлшемді тексеруді қалай айналып өткенін және пернетақта буферінің өлшемі оқылған деректердің өлшемінен қалай аз болып шыққанын түсіндіру әрекеті егжей-тегжейлі, бірақ қосымша ақпаратсыз, түсініктемелерге әкелді. бұл тек арнайы Curl кодымен байланысты емес буфердің толып кетуінің айқын жалпы себептерін ғана шайнады. Жауаптар AI көмекшісімен сөйлесуді еске түсірді және мәселенің нақты қалай көрінетінін білуге мүмкіндіксіз әрекеттерге жарты күн жұмсағаннан кейін әзірлеуші ақырында осалдықтың жоқтығына сенімді болды.
Ақпарат көзі: opennet.ru