ನೆಟ್ವರ್ಕ್ ಕರ್ಲ್ ಮೂಲಕ ಡೇಟಾವನ್ನು ಸ್ವೀಕರಿಸುವ ಮತ್ತು ಕಳುಹಿಸುವ ಉಪಯುಕ್ತತೆಯ ಲೇಖಕ ಡೇನಿಯಲ್ ಸ್ಟೆನ್ಬರ್ಗ್, ದುರ್ಬಲತೆಯ ವರದಿಗಳನ್ನು ರಚಿಸುವಾಗ AI ಪರಿಕರಗಳ ಬಳಕೆಯನ್ನು ಟೀಕಿಸಿದರು. ಅಂತಹ ವರದಿಗಳು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಸಾಮಾನ್ಯ ಭಾಷೆಯಲ್ಲಿ ಬರೆಯಲ್ಪಟ್ಟಿವೆ ಮತ್ತು ಉತ್ತಮ-ಗುಣಮಟ್ಟದಲ್ಲಿ ಕಾಣುತ್ತವೆ, ಆದರೆ ವಾಸ್ತವದಲ್ಲಿ ಚಿಂತನಶೀಲ ವಿಶ್ಲೇಷಣೆಯಿಲ್ಲದೆ ಅವು ತಪ್ಪುದಾರಿಗೆಳೆಯುತ್ತವೆ, ಗುಣಮಟ್ಟದ-ಕಾಣುವ ಕಸದ ವಿಷಯದೊಂದಿಗೆ ನೈಜ ಸಮಸ್ಯೆಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತವೆ.
ಕರ್ಲ್ ಯೋಜನೆಯು ಹೊಸ ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲು ಪ್ರತಿಫಲವನ್ನು ನೀಡುತ್ತದೆ ಮತ್ತು ಸಂಭಾವ್ಯ ಸಮಸ್ಯೆಗಳ 415 ವರದಿಗಳನ್ನು ಈಗಾಗಲೇ ಸ್ವೀಕರಿಸಿದೆ, ಅದರಲ್ಲಿ ಕೇವಲ 64 ದೋಷಗಳು ಮತ್ತು 77 ಸುರಕ್ಷತಾ ದೋಷಗಳು ಎಂದು ದೃಢೀಕರಿಸಲಾಗಿದೆ. ಹೀಗಾಗಿ, ಎಲ್ಲಾ ವರದಿಗಳಲ್ಲಿ 66% ಯಾವುದೇ ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಲ್ಲ ಮತ್ತು ಡೆವಲಪರ್ಗಳಿಂದ ಸಮಯವನ್ನು ಮಾತ್ರ ತೆಗೆದುಕೊಂಡಿದೆ, ಅದು ಉಪಯುಕ್ತವಾದದ್ದನ್ನು ಖರ್ಚು ಮಾಡಬಹುದಾಗಿತ್ತು.
ವಿನ್ಯಾಸದ ಬಾಹ್ಯ ಗುಣಮಟ್ಟವು ಮಾಹಿತಿಯಲ್ಲಿ ಹೆಚ್ಚುವರಿ ವಿಶ್ವಾಸವನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ ಮತ್ತು ಡೆವಲಪರ್ ಏನನ್ನಾದರೂ ತಪ್ಪಾಗಿ ಅರ್ಥೈಸಿಕೊಂಡಿದೆ ಎಂಬ ಭಾವನೆ ಇರುವುದರಿಂದ ಡೆವಲಪರ್ಗಳು ಅನುಪಯುಕ್ತ ವರದಿಗಳನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಸಾಕಷ್ಟು ಸಮಯವನ್ನು ವ್ಯರ್ಥ ಮಾಡುವಂತೆ ಒತ್ತಾಯಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅದರಲ್ಲಿರುವ ಮಾಹಿತಿಯನ್ನು ಹಲವಾರು ಬಾರಿ ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ. ಮತ್ತೊಂದೆಡೆ, ಅಂತಹ ವರದಿಯನ್ನು ರಚಿಸಲು ಅರ್ಜಿದಾರರಿಂದ ಕನಿಷ್ಠ ಪ್ರಯತ್ನದ ಅಗತ್ಯವಿರುತ್ತದೆ, ಅವರು ನಿಜವಾದ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಚಿಂತಿಸುವುದಿಲ್ಲ, ಆದರೆ AI ಸಹಾಯಕರಿಂದ ಸ್ವೀಕರಿಸಿದ ಡೇಟಾವನ್ನು ಕುರುಡಾಗಿ ನಕಲಿಸುತ್ತಾರೆ, ಪ್ರತಿಫಲವನ್ನು ಪಡೆಯುವ ಹೋರಾಟದಲ್ಲಿ ಅದೃಷ್ಟವನ್ನು ನಿರೀಕ್ಷಿಸುತ್ತಾರೆ.
ಅಂತಹ ಕಸ ವರದಿಗಳ ಎರಡು ಉದಾಹರಣೆಗಳನ್ನು ನೀಡಲಾಗಿದೆ. ಅಪಾಯಕಾರಿ ಅಕ್ಟೋಬರ್ ದುರ್ಬಲತೆ (CVE-2023-38545) ಕುರಿತು ಮಾಹಿತಿಯ ಯೋಜಿತ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯ ಹಿಂದಿನ ದಿನ, ಫಿಕ್ಸ್ನೊಂದಿಗೆ ಪ್ಯಾಚ್ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಾಗಿದೆ ಎಂದು ಹ್ಯಾಕೆರೋನ್ ಮೂಲಕ ವರದಿಯನ್ನು ಕಳುಹಿಸಲಾಗಿದೆ. ವಾಸ್ತವವಾಗಿ, ವರದಿಯು Google ನ AI ಸಹಾಯಕ ಬಾರ್ಡ್ ಸಂಗ್ರಹಿಸಿದ ಹಿಂದಿನ ದೋಷಗಳ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿಯ ಒಂದೇ ರೀತಿಯ ಸಮಸ್ಯೆಗಳು ಮತ್ತು ತುಣುಕುಗಳ ಬಗ್ಗೆ ಸತ್ಯಗಳ ಮಿಶ್ರಣವನ್ನು ಒಳಗೊಂಡಿದೆ. ಪರಿಣಾಮವಾಗಿ, ಮಾಹಿತಿಯು ಹೊಸದಾಗಿ ಮತ್ತು ಪ್ರಸ್ತುತವಾಗಿ ಕಾಣುತ್ತದೆ ಮತ್ತು ವಾಸ್ತವದೊಂದಿಗೆ ಯಾವುದೇ ಸಂಬಂಧವನ್ನು ಹೊಂದಿಲ್ಲ.
ಎರಡನೇ ಉದಾಹರಣೆಯು ವೆಬ್ಸಾಕೆಟ್ ಹ್ಯಾಂಡ್ಲರ್ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋ ಕುರಿತು ಡಿಸೆಂಬರ್ 28 ರಂದು ಸ್ವೀಕರಿಸಿದ ಸಂದೇಶಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ, ಅವರು ಈಗಾಗಲೇ ಹ್ಯಾಕರೋನ್ ಮೂಲಕ ದುರ್ಬಲತೆಗಳ ಕುರಿತು ವಿವಿಧ ಯೋಜನೆಗಳಿಗೆ ಮಾಹಿತಿ ನೀಡಿದ ಬಳಕೆದಾರರು ಕಳುಹಿಸಿದ್ದಾರೆ. ಸಮಸ್ಯೆಯನ್ನು ಪುನರುತ್ಪಾದಿಸುವ ವಿಧಾನವಾಗಿ, ವರದಿಯು strcpy ಯೊಂದಿಗೆ ನಕಲು ಮಾಡುವಾಗ ಬಳಸಿದ ಬಫರ್ನ ಗಾತ್ರಕ್ಕಿಂತ ದೊಡ್ಡದಾದ ಮೌಲ್ಯದೊಂದಿಗೆ ಮಾರ್ಪಡಿಸಿದ ವಿನಂತಿಯನ್ನು ರವಾನಿಸುವ ಬಗ್ಗೆ ಸಾಮಾನ್ಯ ಪದಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ವರದಿಯು ತಿದ್ದುಪಡಿಯ ಉದಾಹರಣೆಯನ್ನು ಸಹ ಒದಗಿಸಿದೆ (strcpy ಅನ್ನು strncpy ಯೊಂದಿಗೆ ಬದಲಾಯಿಸುವ ಉದಾಹರಣೆ) ಮತ್ತು "strcpy (keyval, randstr)" ಕೋಡ್ನ ಸಾಲಿಗೆ ಲಿಂಕ್ ಅನ್ನು ಸೂಚಿಸುತ್ತದೆ, ಇದು ಅರ್ಜಿದಾರರ ಪ್ರಕಾರ ದೋಷವನ್ನು ಹೊಂದಿದೆ.
ಡೆವಲಪರ್ ಎಲ್ಲವನ್ನೂ ಮೂರು ಬಾರಿ ಎರಡು ಬಾರಿ ಪರಿಶೀಲಿಸಿದರು ಮತ್ತು ಯಾವುದೇ ತೊಂದರೆಗಳು ಕಂಡುಬಂದಿಲ್ಲ, ಆದರೆ ವರದಿಯನ್ನು ಆತ್ಮವಿಶ್ವಾಸದಿಂದ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ತಿದ್ದುಪಡಿಯನ್ನು ಸಹ ಒಳಗೊಂಡಿರುವುದರಿಂದ, ಎಲ್ಲೋ ಏನೋ ಕಾಣೆಯಾಗಿದೆ ಎಂಬ ಭಾವನೆ ಇತ್ತು. ಸಂಶೋಧಕರು strcpy ಕರೆಗೆ ಮೊದಲು ಇರುವ ಸ್ಪಷ್ಟ ಗಾತ್ರದ ಪರಿಶೀಲನೆಯನ್ನು ಹೇಗೆ ಬೈಪಾಸ್ ಮಾಡಲು ನಿರ್ವಹಿಸಿದ್ದಾರೆ ಮತ್ತು ಕೀವಾಲ್ ಬಫರ್ನ ಗಾತ್ರವು ಓದಿದ ಡೇಟಾದ ಗಾತ್ರಕ್ಕಿಂತ ಹೇಗೆ ಕಡಿಮೆಯಾಗಿದೆ ಎಂಬುದನ್ನು ಸ್ಪಷ್ಟಪಡಿಸುವ ಪ್ರಯತ್ನವು ವಿವರವಾದ, ಆದರೆ ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿ, ವಿವರಣೆಗಳನ್ನು ಸಾಗಿಸಲು ಕಾರಣವಾಯಿತು. ನಿರ್ದಿಷ್ಟ ಕರ್ಲ್ ಕೋಡ್ಗೆ ಸಂಬಂಧಿಸದ ಬಫರ್ ಓವರ್ಫ್ಲೋನ ಸ್ಪಷ್ಟ ಸಾಮಾನ್ಯ ಕಾರಣಗಳನ್ನು ಮಾತ್ರ ಅಗಿಯಲಾಗುತ್ತದೆ. ಉತ್ತರಗಳು AI ಸಹಾಯಕರೊಂದಿಗೆ ಸಂವಹನವನ್ನು ನೆನಪಿಸುತ್ತವೆ ಮತ್ತು ಸಮಸ್ಯೆಯು ಹೇಗೆ ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ಕಂಡುಹಿಡಿಯಲು ಅರ್ಧ ದಿನವನ್ನು ವ್ಯರ್ಥ ಪ್ರಯತ್ನಗಳಲ್ಲಿ ಕಳೆದ ನಂತರ, ಡೆವಲಪರ್ ಅಂತಿಮವಾಗಿ ಯಾವುದೇ ದುರ್ಬಲತೆ ಇಲ್ಲ ಎಂದು ಮನವರಿಕೆ ಮಾಡಿದರು.
ಮೂಲ: opennet.ru