Daniel Stenberg, mwandishi wa shirika la kupokea na kutuma data kupitia curl ya mtandao, alikosoa matumizi ya zana za AI wakati wa kuunda ripoti za athari. Ripoti kama hizo ni pamoja na habari za kina, zimeandikwa kwa lugha ya kawaida na zinaonekana kuwa za hali ya juu, lakini bila uchambuzi wa kufikiria katika hali halisi zinaweza tu kupotosha, kuchukua nafasi ya shida za kweli na yaliyomo kwenye takataka yenye ubora wa juu.
Mradi wa Curl unalipa thawabu kwa kutambua udhaifu mpya na tayari umepokea ripoti 415 za matatizo yanayoweza kutokea, ambapo 64 pekee ndizo zilithibitishwa kuwa udhaifu na 77 kama hitilafu zisizo za usalama. Kwa hivyo, 66% ya ripoti zote hazikuwa na habari yoyote muhimu na ziliondoa tu wakati kutoka kwa wasanidi programu ambao wangeweza kutumika kwa kitu muhimu.
Watengenezaji wanalazimika kupoteza muda mwingi kuchanganua ripoti zisizo na maana na kuangalia mara mbili habari iliyomo mara kadhaa, kwani ubora wa nje wa muundo huunda imani ya ziada katika habari na kuna hisia kwamba msanidi programu hakuelewa kitu. Kwa upande mwingine, kutoa ripoti kama hiyo kunahitaji juhudi ndogo kutoka kwa mwombaji, ambaye hajisumbui kuangalia shida halisi, lakini anakili kwa upofu data iliyopokelewa kutoka kwa wasaidizi wa AI, akitumaini bahati nzuri katika mapambano ya kupokea tuzo.
Mifano miwili ya ripoti hizo za taka zimetolewa. Siku moja kabla ya ufichuzi uliopangwa wa maelezo kuhusu uwezekano wa kuathiriwa na hatari wa Oktoba (CVE-2023-38545), ripoti ilitumwa kupitia Hackerone kwamba kiraka kilicho na marekebisho kilikuwa kinapatikana kwa umma. Kwa hakika, ripoti ilikuwa na mchanganyiko wa ukweli kuhusu matatizo sawa na vijisehemu vya maelezo ya kina kuhusu udhaifu wa hapo awali uliokusanywa na msaidizi wa AI wa Google Bard. Matokeo yake, habari hiyo ilionekana kuwa mpya na muhimu, na haikuwa na uhusiano na ukweli.
Mfano wa pili unahusu ujumbe uliopokelewa tarehe 28 Desemba kuhusu kufurika kwa akiba katika kidhibiti cha WebSocket, uliotumwa na mtumiaji ambaye tayari alikuwa amearifu miradi mbalimbali kuhusu udhaifu kupitia Hackerone. Kama mbinu ya kuzalisha tatizo tena, ripoti ilijumuisha maneno ya jumla kuhusu kupitisha ombi lililorekebishwa na thamani kubwa kuliko saizi ya akiba inayotumiwa wakati wa kunakili kwa strcpy. Ripoti pia ilitoa mfano wa marekebisho (mfano wa kuchukua nafasi ya strncpy na strncpy) na ilionyesha kiungo kwa mstari wa kanuni "strcpy(keyval, randstr)", ambayo, kulingana na mwombaji, ilikuwa na hitilafu.
Msanidi aliangalia kila kitu mara tatu na hakupata shida yoyote, lakini kwa kuwa ripoti hiyo iliandikwa kwa ujasiri na hata ilikuwa na marekebisho, kulikuwa na hisia kwamba kitu kilikosa mahali fulani. Jaribio la kufafanua jinsi mtafiti aliweza kupitisha ukaguzi wa saizi dhahiri uliokuwepo kabla ya simu ya strcpy na jinsi saizi ya bafa ya keyval iligeuka kuwa chini ya saizi ya data iliyosomwa ilisababisha maelezo ya kina, lakini bila kubeba maelezo ya ziada. ambayo ilitafuna tu sababu za kawaida za kufurika kwa bafa ambazo hazihusiani na msimbo maalum wa Curl. Majibu yalikuwa ya kukumbusha kuwasiliana na msaidizi wa AI, na baada ya kutumia nusu ya siku juu ya majaribio yasiyo na maana ya kujua jinsi tatizo linajidhihirisha, msanidi hatimaye alishawishika kuwa kwa kweli hakuna udhaifu.
Chanzo: opennet.ru