Daniel Stenberg, awtur ta 'utilità biex tirċievi u tibgħat dejta fuq il-kurl tan-netwerk, ikkritika l-użu ta' għodod AI meta ħoloq rapporti ta 'vulnerabbiltà. Tali rapporti jinkludu informazzjoni dettaljata, huma miktuba b'lingwaġġ normali u jidhru ta 'kwalità għolja, iżda mingħajr analiżi maħsub fir-realtà jistgħu biss ikunu qarrieqa, jissostitwixxu problemi reali b'kontenut ta' żibel ta 'kwalità għolja.
Il-proġett Curl iħallas premjijiet għall-identifikazzjoni ta 'vulnerabbiltajiet ġodda u diġà rċieva 415 rapport ta' problemi potenzjali, li minnhom 64 biss ġew ikkonfermati bħala vulnerabbiltajiet u 77 bħala bugs mhux tas-sigurtà. Għalhekk, 66% tar-rapporti kollha ma kien fihom l-ebda informazzjoni utli u ħadu biss ħin mill-iżviluppaturi li setgħu jintefqu fuq xi ħaġa utli.
L-iżviluppaturi huma sfurzati jaħlu ħafna ħin billi jparsjaw rapporti inutli u jiċċekkjaw darbtejn l-informazzjoni li tinsab hemm diversi drabi, peress li l-kwalità esterna tad-disinn toħloq fiduċja addizzjonali fl-informazzjoni u hemm sensazzjoni li l-iżviluppatur fehem ħażin xi ħaġa. Min-naħa l-oħra, il-ġenerazzjoni ta 'rapport bħal dan teħtieġ sforz minimu mill-applikant, li ma jolqotx jiċċekkja għal problema reali, iżda sempliċement jikkopja bl-addoċċ id-data li tirċievi mill-assistenti tal-AI, bit-tama ta' xortih fil-ġlieda biex tirċievi premju.
Jingħataw żewġ eżempji ta’ tali rapporti dwar iż-żibel. Il-ġurnata qabel l-iżvelar ippjanat ta 'informazzjoni dwar il-vulnerabbiltà perikoluża ta' Ottubru (CVE-2023-38545), intbagħat rapport permezz ta 'Hackerone li l-garża bit-tiswija kienet saret pubblikament disponibbli. Fil-fatt, ir-rapport kien fih taħlita ta 'fatti dwar problemi simili u siltiet ta' informazzjoni dettaljata dwar vulnerabbiltajiet tal-passat miġbura mill-assistent AI ta 'Google Bard. Bħala riżultat, l-informazzjoni dehret ġdida u rilevanti, u ma kellha l-ebda konnessjoni mar-realtà.
It-tieni eżempju jikkonċerna messaġġ li wasal fit-28 ta’ Diċembru dwar buffer overflow fil-WebSocket handler, mibgħut minn utent li kien diġà informa diversi proġetti dwar vulnerabbiltajiet permezz ta’ Hackerone. Bħala metodu ta 'riproduzzjoni tal-problema, ir-rapport inkluda kliem ġenerali dwar li tgħaddi talba modifikata b'valur akbar mid-daqs tal-buffer użat meta tikkopja bi strcpy. Ir-rapport ipprovda wkoll eżempju ta’ korrezzjoni (eżempju ta’ sostituzzjoni ta’ strcpy bi strncpy) u indika link għal-linja ta’ kodiċi “strcpy(keyval, randstr)”, li, skont l-applikant, kien fiha żball.
L-iżviluppatur iċċekkja kollox tliet darbiet u ma sab l-ebda problema, iżda peress li r-rapport inkiteb b'kunfidenza u saħansitra kien fih korrezzjoni, kien hemm sensazzjoni li xi ħaġa kienet nieqsa x'imkien. Tentattiv biex jiċċara kif ir-riċerkatur irnexxielu jevita l-kontroll tad-daqs espliċitu preżenti qabel is-sejħa strcpy u kif id-daqs tal-buffer keyval irriżulta li kien inqas mid-daqs tad-dejta moqrija wassal għal spjegazzjonijiet dettaljati, iżda li ma jġorrux informazzjoni addizzjonali. li biss mimgħuda fuq il-kawżi komuni ovvji ta 'buffer overflow mhux relatati ma' kodiċi Curl speċifiku. It-tweġibiet kienu reminixxenti ta 'komunikazzjoni ma' assistent AI, u wara li qattgħu nofs ġurnata fuq tentattivi inutli biex issir taf eżattament kif timmanifesta ruħha l-problema, l-iżviluppatur kien finalment konvint li fil-fatt ma kien hemm l-ebda vulnerabbiltà.
Sors: opennet.ru