ډینیل سټینبرګ ، د شبکې کرل کې د معلوماتو ترلاسه کولو او لیږلو لپاره د یوټیلټي لیکوال ، د زیان مننې راپورونو رامینځته کولو پر مهال د AI وسیلو په کارولو انتقاد وکړ. په دې ډول راپورونو کې مفصل معلومات شامل دي، په عادي ژبه لیکل شوي او لوړ کیفیت ښکاري، مګر په حقیقت کې د فکري تحلیل پرته دوی یوازې ګمراه کونکي کیدی شي، اصلي ستونزې د لوړ کیفیت لرونکي کثافاتو مینځپانګې سره ځای په ځای کوي.
د Curl پروژه د نویو زیانونو د پیژندلو لپاره انعامونه ورکوي او دمخه یې د احتمالي ستونزو 415 راپورونه ترلاسه کړي، چې یوازې 64 یې د زیان منونکو په توګه او 77 یې د غیر امنیتي خنډونو په توګه تایید شوي. په دې توګه، د ټولو راپورونو 66٪ هیڅ ګټور معلومات نه درلودل او یوازې د پراختیا کونکو څخه یې وخت واخیست چې ممکن په ګټور څه مصرف شوي وي.
پراختیا کونکي دې ته اړ دي چې ډیر وخت ضایع کړي بې ګټې راپورونه تحلیل کړي او څو ځله پکې موجود معلومات دوه ځله چیک کړي ، ځکه چې د ډیزاین بهرني کیفیت په معلوماتو اضافي باور رامینځته کوي او داسې احساس شتون لري چې پراختیا کونکی یو څه غلط پوهیږي. له بلې خوا ، د داسې راپور رامینځته کول د غوښتونکي څخه لږترلږه هڅې ته اړتیا لري ، څوک چې د اصلي ستونزې لپاره چک کولو ته زړه نه ښه کوي ، مګر په ساده ډول د AI معاونینو څخه ترلاسه شوي ډیټا کاپي کوي ، د انعام ترلاسه کولو په مبارزه کې د بریا په هیله.
د دې ډول کثافاتو دوه مثالونه ورکړل شوي. د خطرناک اکتوبر زیانمننې (CVE-2023-38545) په اړه د معلوماتو پلان شوي افشا کیدو یوه ورځ دمخه ، د هیکرون له لارې یو راپور لیږل شوی و چې د فکس سره پیچ په عامه توګه شتون درلود. په حقیقت کې، راپور د ورته ستونزو په اړه د حقایقو مخلوط او د تیرو زیانونو په اړه د مفصلو معلوماتو لنډیز لري چې د ګوګل د AI معاون بارډ لخوا ترتیب شوي. د پایلې په توګه، معلومات نوي او اړونده ښکاري، او د واقعیت سره هیڅ تړاو نلري.
دویمه بیلګه د ډیسمبر په 28 د ویب ساکټ هینډلر کې د بفر اوور فلو په اړه ترلاسه شوي پیغام پورې اړه لري ، د یو کارونکي لخوا لیږل شوی چې دمخه یې د هیکرون له لارې د زیانونو په اړه مختلف پروژې خبر کړي. د ستونزې د بیا تولید د یوې میتود په توګه، راپور کې د بفر د اندازې څخه لوی ارزښت سره د تعدیل شوي غوښتنې تیرولو په اړه عمومي کلمې شاملې وې کله چې د strcpy سره کاپي کول کارول کیږي. راپور د سمون یوه بیلګه هم وړاندې کړې (د strcpy سره د strncpy ځای په ځای کولو یوه بیلګه) او د "strcpy(keyval, randstr)" کوډ کرښې ته لینک اشاره کړې، کوم چې د غوښتونکي په وینا، یوه تېروتنه لري.
پراختیا کونکي هر څه درې ځله دوه ځله چیک کړل او کومه ستونزه یې ونه موندله، مګر له هغه وخته چې راپور په ډاډه توګه لیکل شوی و او حتی اصلاح یې درلود، داسې احساس و چې یو څه ورک دی. د روښانه کولو یوه هڅه چې څیړونکي څنګه وکولی شول د strcpy زنګ څخه دمخه د واضح اندازې چیک څخه تیر شي او څنګه د کلیدي بفر اندازه د لوستل شوي ډیټا له اندازې څخه کمه وه د توضیحاتو لامل شوی ، مګر اضافي معلومات نلري ، توضیحات. چې یوازې د بفر اوور فلو څرګند عام لاملونه ژاړي چې د ځانګړي Curl کوډ سره تړاو نلري. ځوابونه د AI معاون سره د خبرو اترو یادونه کوي، او د نیمې ورځې په بې ځایه هڅو کې مصرف کولو وروسته چې معلومه کړي چې ستونزه څنګه ځان څرګندوي، پراختیا کوونکی په پای کې قانع شو چې په حقیقت کې هیڅ زیان شتون نلري.
سرچینه: opennet.ru