Daniel Stenberg, panulis utilitas pikeun nampi sareng ngirim data dina jaringan curl, ngritik panggunaan alat AI nalika nyiptakeun laporan kerentanan. Laporan sapertos kitu kalebet inpormasi anu lengkep, ditulis dina basa anu normal sareng katingalina kualitasna luhur, tapi tanpa analisa anu wijaksana dina kanyataanana aranjeunna ngan ukur tiasa nyasabkeun, ngagentos masalah nyata sareng eusi sampah anu kualitas luhur.
Proyék Curl mayar ganjaran pikeun ngaidentipikasi kerentanan anyar sareng parantos nampi 415 laporan ngeunaan masalah poténsial, anu ngan ukur 64 dikonfirmasi salaku kerentanan sareng 77 salaku bug non-kaamanan. Ku kituna, 66% tina sakabéh laporan teu ngandung sagala informasi mangpaat sarta ngan nyokot jauh waktu ti pamekar nu bisa geus spent dina hal mangpaat.
Pamekar kapaksa miceunan loba waktu parsing laporan gunana jeung ganda-mariksa informasi anu dikandung aya sababaraha kali, saprak kualitas éksternal desain nyiptakeun kapercayaan tambahan dina informasi jeung aya rarasaan yén pamekar salah ngartikeun hal. Di sisi séjén, generating laporan misalna merlukeun usaha minimal ti ngalamar, anu teu ganggu pariksa keur masalah nyata, tapi ngan saukur nyalin ambing data nampi ti asisten AI, hoping untung dina perjuangan pikeun nampa ganjaran.
Dua conto laporan sampah sapertos dirumuskeun. Dinten sateuacan panyingkepan rencanana inpormasi ngeunaan kerentanan Oktober anu bahaya (CVE-2023-38545), laporan dikirim via Hackerone yén patch sareng perbaikan parantos sayogi umum. Nyatana, laporan éta ngandung campuran fakta ngeunaan masalah anu sami sareng snippét inpormasi detil ngeunaan kerentanan baheula anu disusun ku asisten AI Google Bard. Hasilna, inpormasi katingali anyar sareng relevan, sareng teu aya hubunganana sareng kanyataan.
Conto kadua ngeunaan pesen anu ditampi dina 28 Désémber ngeunaan panyangga panyangga dina pawang WebSocket, dikirim ku pangguna anu parantos nginpokeun sababaraha proyék ngeunaan kerentanan ngaliwatan Hackerone. Salaku métode reproducing masalah, laporan kaasup kecap umum ngeunaan ngalirkeun pamundut dirobah kalawan nilai leuwih badag batan ukuran panyangga dipaké nalika nyalin kalawan strcpy. Laporan éta ogé nyayogikeun conto koreksi (conto ngagentos strcpy sareng strncpy) sareng nunjukkeun tautan kana garis kode "strcpy(keyval, randstr)", anu, numutkeun ngalamar, aya kasalahan.
Pamekar dua kali pariksa sadayana tilu kali sareng henteu mendakan masalah, tapi ti saprak laporan éta diserat sacara yakin sareng ngandung koreksi, aya perasaan yén aya anu leungit di mana waé. Hiji usaha pikeun netelakeun kumaha panalungtik junun bypass cek ukuran eksplisit hadir saméméh panggero strcpy na kumaha ukuran panyangga keyval tétéla kirang ti ukuran data dibaca ngarah ka rinci, tapi teu mawa informasi tambahan, katerangan. nu ngan chewed on ngabalukarkeun umum atra panyangga mudal teu patali jeung kode Curl husus. Jawabanna ngingetkeun komunikasi sareng asistén AI, sareng saatos nyéépkeun satengah dinten dina usaha anu teu aya gunana pikeun terang kumaha masalahna muncul, pamekar tungtungna yakin yén kanyataanna henteu aya kerentanan.
sumber: opennet.ru