ජාල කර්ල් හරහා දත්ත ලබා ගැනීම සහ යැවීම සඳහා උපයෝගීතාවක කතුවරයා වන ඩැනියෙල් ස්ටෙන්බර්ග්, අවදානම් වාර්තා නිර්මාණය කිරීමේදී AI මෙවලම් භාවිතය විවේචනය කළේය. එවැනි වාර්තාවල සවිස්තරාත්මක තොරතුරු ඇතුළත් වේ, සාමාන්ය භාෂාවෙන් ලියා ඇති අතර උසස් තත්ත්වයේ පෙනුමක් ඇත, නමුත් යථාර්ථයේ දී කල්පනාකාරී විශ්ලේෂණයකින් තොරව ඒවා නොමඟ යවන සුළු විය හැකි අතර සැබෑ ගැටළු උසස් තත්ත්වයේ පෙනුමැති කුණු අන්තර්ගතය සමඟ ප්රතිස්ථාපනය කරයි.
Curl ව්යාපෘතිය නව අවදානම් හඳුනා ගැනීම සඳහා ත්යාග ගෙවන අතර විභව ගැටලු පිළිබඳ වාර්තා 415ක් දැනටමත් ලැබී ඇති අතර, එයින් 64ක් පමණක් අවදානම් ලෙස තහවුරු කර ඇති අතර 77ක් ආරක්ෂක නොවන දෝෂ ලෙස තහවුරු කර ඇත. මේ අනුව, සියලුම වාර්තා වලින් 66% ක්ම කිසිදු ප්රයෝජනවත් තොරතුරු අඩංගු නොවූ අතර ප්රයෝජනවත් දෙයක් සඳහා වැය කළ හැකි කාලය සංවර්ධකයින්ගෙන් පමණක් ලබා ගත්හ.
නිර්මාණයේ බාහිර ගුණාත්මක භාවය තොරතුරු කෙරෙහි අමතර විශ්වාසයක් ඇති කරන අතර සංවර්ධකයා යමක් වරදවා වටහා ගත් බවට හැඟීමක් ඇති බැවින්, නිෂ්ඵල වාර්තා විග්රහ කිරීමට සහ එහි අඩංගු තොරතුරු කිහිප වතාවක් දෙවරක් පරීක්ෂා කිරීමට බොහෝ කාලයක් නාස්ති කිරීමට සංවර්ධකයින්ට බල කෙරේ. අනෙක් අතට, එවැනි වාර්තාවක් උත්පාදනය කිරීම සඳහා අයදුම්කරුගෙන් අවම උත්සාහයක් අවශ්ය වන අතර, ඔහු සැබෑ ගැටළුවක් පරීක්ෂා කිරීමට වෙහෙසෙන්නේ නැත, නමුත් ත්යාගයක් ලබා ගැනීමේ අරගලයේ වාසනාව බලාපොරොත්තුවෙන් AI සහායකයින්ගෙන් ලැබෙන දත්ත අන්ධ ලෙස පිටපත් කරයි.
එවැනි කසළ වාර්තා සඳහා උදාහරණ දෙකක් දක්වා ඇත. භයානක ඔක්තෝබර් අවදානම (CVE-2023-38545) පිළිබඳ තොරතුරු සැලසුම්ගත හෙළිදරව් කිරීමට පෙර දින, නිවැරදි කිරීම සහිත පැච් ප්රසිද්ධියේ ලබා ගත හැකි බවට වාර්තාවක් හැකරෝන් හරහා යවන ලදී. ඇත්ත වශයෙන්ම, වාර්තාවේ Google හි AI සහකාර බාර්ඩ් විසින් සම්පාදනය කරන ලද සමාන ගැටළු සහ අතීත අවදානම් පිළිබඳ සවිස්තරාත්මක තොරතුරුවල කොටස් පිළිබඳ කරුණු මිශ්රණයක් අඩංගු විය. එහි ප්රතිඵලයක් වශයෙන්, තොරතුරු අලුත් සහ අදාළ පෙනුමක් ඇති අතර යථාර්ථය සමඟ කිසිදු සම්බන්ධයක් නොතිබුණි.
දෙවන උදාහරණය, WebSocket හසුරුවන්නෙහි බෆරය පිටාර ගැලීම ගැන දෙසැම්බර් 28 වන දින ලැබුණු පණිවිඩයක් සම්බන්ධ වන අතර, Hackerone හරහා විවිධ ව්යාපෘති සඳහා දැනටමත් දන්වා ඇති පරිශීලකයෙකු විසින් එවන ලදී. ගැටලුව ප්රතිනිෂ්පාදනය කිරීමේ ක්රමයක් ලෙස, වාර්තාවේ strcpy සමඟ පිටපත් කිරීමේදී භාවිතා කරන බෆරයේ ප්රමාණයට වඩා විශාල අගයක් සහිත නවීකරණය කරන ලද ඉල්ලීමක් සම්මත කිරීම පිළිබඳ සාමාන්ය වචන ඇතුළත් විය. වාර්තාව නිවැරදි කිරීමක උදාහරණයක් ද සපයා ඇත (strcpy වෙනුවට strncpy ආදේශ කිරීමේ උදාහරණයක්) සහ "strcpy(keyval, randstr)" කේත රේඛාවට සබැඳියක් දක්වා ඇත, එය අයදුම්කරුට අනුව දෝෂයක් අඩංගු විය.
සංවර්ධකයා සෑම දෙයක්ම තුන් වරක් දෙවරක් පරීක්ෂා කළ අතර කිසිදු ගැටළුවක් සොයාගත නොහැකි විය, නමුත් වාර්තාව විශ්වාසයෙන් ලියා ඇති අතර නිවැරදි කිරීමක් පවා අඩංගු බැවින්, කොහේ හරි යමක් අතුරුදහන් වී ඇති බවට හැඟීමක් ඇති විය. පර්යේෂකයා strcpy ඇමතුමට පෙර පැවති පැහැදිලි ප්රමාණයේ පරීක්ෂාව මඟ හැරීමට සමත් වූ ආකාරය සහ කීවල් බෆරයේ ප්රමාණය කියවූ දත්තවල ප්රමාණයට වඩා අඩු වූයේ කෙසේද යන්න පැහැදිලි කිරීමට ගත් උත්සාහයක් සවිස්තරාත්මක නමුත් අමතර තොරතුරු රැගෙන නොයෑමට හේතු විය. නිශ්චිත Curl කේතයට සම්බන්ධ නොවන බෆරය පිටාර ගැලීමේ පැහැදිලි පොදු හේතු පමණක් හපන ලදී. පිළිතුරු AI සහායකයෙකු සමඟ සන්නිවේදනය කිරීම සිහිපත් කරන අතර, ගැටලුව ප්රකාශ වන්නේ කෙසේදැයි හරියටම සොයා ගැනීමට දින භාගයක් නිෂ්ඵල උත්සාහයන් දැරීමෙන් පසුව, ඇත්ත වශයෙන්ම කිසිදු අවදානමක් නොමැති බව සංවර්ධකයාට අවසානයේ ඒත්තු ගියේය.
මූලාශ්රය: opennet.ru