ڊينيل اسٽينبرگ، نيٽ ورڪ ڪرل تي ڊيٽا حاصل ڪرڻ ۽ موڪلڻ لاءِ يوٽيلٽي جو ليکڪ، AI اوزارن جي استعمال تي تنقيد ڪئي جڏهن ڪمزوري رپورٽون ٺاهڻ. اهڙيون رپورٽون تفصيلي معلومات تي مشتمل هونديون آهن، عام ٻولي ۾ لکيل هونديون آهن ۽ اعليٰ معيار جي نظر اينديون آهن، پر حقيقت ۾ سوچي سمجهي تجزيي کان سواءِ اهي صرف گمراهه ڪندڙ ٿي سگهن ٿيون، حقيقي مسئلن جي بدران اعليٰ معيار جي ڏسندڙ ڪچري واري مواد سان.
Curl پروجيڪٽ نون خطرن جي نشاندهي ڪرڻ لاءِ انعام ڏيندو آهي ۽ اڳ ۾ ئي امڪاني مسئلن جي 415 رپورٽون حاصل ڪري چڪو آهي، جن مان صرف 64 جي تصديق ٿيل خطرن جي طور تي ۽ 77 غير حفاظتي مسئلن جي طور تي. اهڙيء طرح، سڀني رپورٽن جي 66٪ ۾ ڪا به مفيد معلومات شامل نه هئي ۽ صرف ڊولپرز کان وقت ڪڍيو ويو جيڪو ڪجهه مفيد تي خرچ ڪري سگهجي ٿو.
ڊولپرز بيڪار رپورٽن کي پارس ڪرڻ ۾ گهڻو وقت ضايع ڪرڻ ۽ اتي موجود معلومات کي ٻه ڀيرا جانچڻ تي مجبور ڪيو ويو آهي، ڇاڪاڻ ته ڊزائن جي خارجي معيار معلومات ۾ اضافي اعتماد پيدا ڪري ٿي ۽ اهو احساس آهي ته ڊولپر ڪجهه غلط سمجهي رهيو آهي. ٻئي طرف، اهڙي رپورٽ تيار ڪرڻ لاءِ درخواست ڏيندڙ کان گهٽ ۾ گهٽ ڪوشش جي ضرورت آهي، جيڪو ڪنهن حقيقي مسئلي جي جاچ ڪرڻ جي زحمت نه ڪندو آهي، پر صرف انڌي طرح AI اسسٽنٽ کان حاصل ڪيل ڊيٽا کي نقل ڪري ٿو، انعام حاصل ڪرڻ جي جدوجهد ۾ قسمت جي اميد رکي ٿو.
اهڙي ڪچري جي رپورٽ جا ٻه مثال ڏجن ٿا. خطرناڪ آڪٽوبر جي خطري (CVE-2023-38545) بابت معلومات جي منصوبابندي افشا ٿيڻ کان هڪ ڏينهن اڳ، هيڪرون ذريعي هڪ رپورٽ موڪلي وئي هئي ته فيڪس سان پيچ عوامي طور تي دستياب ٿي چڪو هو. حقيقت ۾، رپورٽ ۾ ساڳئي مسئلن بابت حقيقتن جو هڪ مرکب ۽ ماضي جي خرابين بابت تفصيلي ڄاڻ جي ٽڪڙن تي مشتمل آهي گوگل جي AI اسسٽنٽ بارڊ پاران مرتب ڪيل. نتيجي طور، معلومات نئين ۽ لاڳاپيل نظر آئي، ۽ حقيقت سان ڪو به واسطو نه هو.
ٻيو مثال 28 ڊسمبر تي ويب ساڪٽ هينڊلر ۾ بفر اوور فلو جي باري ۾ موصول ٿيل هڪ پيغام جو خدشو آهي، جيڪو هڪ صارف پاران موڪليو ويو آهي جيڪو اڳ ۾ ئي مختلف منصوبن کي هيڪرون ذريعي نقصان جي باري ۾ ڄاڻ ڏئي چڪو هو. مسئلي کي ٻيهر پيدا ڪرڻ جي طريقي جي طور تي، رپورٽ ۾ عام لفظ شامل آهن تبديل ٿيل درخواست کي پاس ڪرڻ جي باري ۾ هڪ قدر سان وڏي قيمت سان گڏ بفر جي سائيز کان وڏي استعمال جڏهن strcpy سان نقل ڪندي. رپورٽ ۾ هڪ اصلاح جو مثال پڻ ڏنو ويو آهي (مثال طور strcpy کي strncpy سان تبديل ڪرڻ جو هڪ مثال) ۽ ڪوڊ لائن جي لنڪ ڏانهن اشارو ڪيو “strcpy(keyval, randstr)”، جنهن ۾، درخواست ڪندڙ جي مطابق، هڪ غلطي هئي.
ڊولپر هر شيءِ کي ٽي ڀيرا ٻه ڀيرا چيڪ ڪيو ۽ ڪو مسئلو نه مليو، پر جيئن ته رپورٽ اعتماد سان لکي وئي هئي ۽ ان ۾ اصلاح به شامل هئي، ان ڪري محسوس ٿيو ته ڪا شيءِ ڪٿي گم آهي. واضح ڪرڻ جي هڪ ڪوشش ته محقق strcpy ڪال کان اڳ موجود واضح سائيز چيڪ کي ڪيئن پاسو ڪرڻ ۾ ڪامياب ٿيو ۽ ڪيئن ڪيوال بفر جي سائيز پڙهيل ڊيٽا جي سائيز کان گهٽ ٿي وئي، تفصيلي، پر اضافي معلومات کڻي نه، وضاحتون. جيڪو صرف بفر اوور فلو جي واضح عام سببن تي چبو آهي مخصوص Curl ڪوڊ سان لاڳاپيل ناهي. جواب هڪ AI اسسٽنٽ سان گفتگو ڪرڻ جي ياد ڏياري رهيا هئا، ۽ اڌ ڏينهن جي بي مقصد ڪوششن تي خرچ ڪرڻ کان پوء اهو معلوم ڪيو ويو ته اهو مسئلو ڪيئن ظاهر ٿئي ٿو، ڊولپر آخرڪار قائل ٿي ويو ته حقيقت ۾ ڪو به خطرو ناهي.
جو ذريعو: opennet.ru