Daniel Stenberg, oo ah qoraaga utility si loo helo loona diro xogta shabakada curlka, ayaa dhaleeceeyay adeegsiga aaladaha AI marka la abuurayo warbixinnada nuglaanshaha. Warbixinnada noocan oo kale ah waxaa ka mid ah macluumaad faahfaahsan, oo ku qoran luqad caadi ah waxayna u muuqdaan kuwo tayo sare leh, laakiin iyada oo aan la falanqeyn fekerka dhabta ah waxay noqon karaan oo kaliya marin habaabinta, beddelka dhibaatooyinka dhabta ah ee tayada sare leh ee muuqaal qashin ah.
Mashruuca Curl waxa uu bixiyaa abaal-marinno lagu ogaanayo dayacanka cusub waxana uu hore u helay 415 warbixinood oo ah dhibaatooyinka iman kara, kuwaas oo 64 ka mid ah oo keliya la xaqiijiyey inay yihiin baylahda iyo 77 ka mid ah cayayaanno aan ammaan ahayn. Sidaa darteed, 66% dhammaan warbixinnada kuma jiraan wax macluumaad ah oo faa'iido leh oo kaliya waxay ka qaadeen waqti horumariyeyaasha kuwaas oo ku bixi kara wax faa'iido leh.
Horumariyayaashu waxay ku qasban yihiin inay wakhti badan ku lumiyaan falanqaynta warbixinnada aan faa'iido doonka ahayn iyo hubinta laba jeer ee macluumaadka halkaas ku jira dhowr jeer, maadaama tayada dibadda ee naqshadeynta ay abuurto kalsooni dheeraad ah oo ku saabsan macluumaadka iyo waxaa jira dareen ah in horumariyuhu uu wax fahmay. Dhanka kale, soo saarista warbixintan oo kale waxay u baahan tahay dadaalka ugu yar ee codsadaha, kaas oo aan ku dhibin hubinta dhibaatada dhabta ah, laakiin si indho la'aan ah ayaa nuqul ka sameysan xogta laga helay kaaliyeyaasha AI, iyagoo rajeynaya nasiib halganka si ay u helaan abaalmarin.
Labo tusaale oo ka mid ah warbixinnada qashinka ayaa la bixiyaa. Maalin kahor shaacinta la qorsheeyay ee macluumaadka ku saabsan dayacanka halista ah ee Oktoobar (CVE-2023-38545), warbixin ayaa loo diray Hackerone in balastarkii hagaajinta uu noqday mid si cad loo heli karo. Dhab ahaantii, warbixintu waxa ay ka koobnayd xaqiiqooyin isku dhaf ah oo ku saabsan dhibaatooyinka la midka ah iyo qaybo ka mid ah macluumaad faahfaahsan oo ku saabsan dayacanka hore ee uu soo ururiyay kaaliyaha AI ee Google ee Bard. Natiijo ahaan, xogtu waxay u ekayd mid cusub oo khusaysa, wax xidhiidh ahna lama lahayn xaqiiqada.
Tusaalaha labaad waxa uu quseeyaa fariin la helay Diseembar 28 oo ku saabsan bakhaar buux dhaafiyay maamulaha WebSocket, oo uu soo diray isticmaale kaas oo horay ugu wargaliyay mashaariic kala duwan oo ku saabsan dayacanka Hackerone. Habka dib u soo saarista dhibka, warbixintu waxa ay ku jirtay kelmado guud oo ku saabsan gudbinta codsi wax laga beddelay oo leh qiime ka weyn cabbirka kaydka la isticmaalo marka lagu koobiyaynayo strcpy. Warbixintu waxay sidoo kale bixisay tusaale ah sixitaanka (tusaale beddelka strcpy strncpy) waxayna muujisay isku xirka khadka koodka "strcpy(keyval, randstr)", kaas oo, marka loo eego codsadaha, ay ku jiraan qalad.
Horumariyuhu wuxuu laba jeer hubiyay wax kasta saddex jeer mana uusan helin wax dhibaato ah, laakiin maadaama warbixinta si kalsooni leh loo qoray oo xitaa ay ku jirto sixid, waxaa jiray dareen ah in wax ka maqan yihiin meel. Isku day lagu doonayo in lagu caddeeyo sida cilmi-baaruhu ugu suurtagashay in uu dhaafo jeegga cabbirka cad ee xaadirka ah ka hor inta aan la wicin strcpy iyo sida xajmiga furaha furaha u noqday in ka yar cabbirka xogta akhrinta ayaa keentay in faahfaahsan, laakiin aan la qaadin macluumaad dheeraad ah, sharaxaad. kaas oo kaliya ku ruugay sababaha caadiga ah ee cad ee qulqulka qulqulka ee aan la xiriirin koodka Curl gaar ah. Jawaabaha waxay ahaayeen kuwo xasuusin ah in lala xiriiro kaaliyaha AI, ka dib markii uu ku qaatay nus maalin isku dayo aan macno lahayn si loo ogaado sida saxda ah ee dhibaatadu isu muujinayso, horumariyuhu wuxuu ugu dambeyntii ku qancay in aysan jirin wax dayacan ah.
Source: opennet.ru