டேனியல் ஸ்டென்பெர்க், நெட்வொர்க் கர்ல் மூலம் தரவைப் பெறுவதற்கும் அனுப்புவதற்கும் ஒரு பயன்பாட்டின் ஆசிரியர், பாதிப்பு அறிக்கைகளை உருவாக்கும் போது AI கருவிகளைப் பயன்படுத்துவதை விமர்சித்தார். இத்தகைய அறிக்கைகள் விரிவான தகவல்களை உள்ளடக்கியது, சாதாரண மொழியில் எழுதப்பட்டவை மற்றும் உயர்தர தோற்றம் கொண்டவை, ஆனால் உண்மையில் சிந்திக்காமல் அவை தவறாக வழிநடத்தும், உண்மையான பிரச்சனைகளை உயர்தர தோற்றமுள்ள குப்பை உள்ளடக்கத்துடன் மாற்றும்.
கர்ல் திட்டம் புதிய பாதிப்புகளை கண்டறிவதற்காக வெகுமதிகளை வழங்குகிறது மற்றும் ஏற்கனவே 415 சாத்தியமான சிக்கல்களின் அறிக்கைகளைப் பெற்றுள்ளது, அவற்றில் 64 மட்டுமே பாதிப்புகள் மற்றும் 77 பாதுகாப்பு அல்லாத பிழைகள் என உறுதிப்படுத்தப்பட்டுள்ளன. எனவே, அனைத்து அறிக்கைகளிலும் 66% எந்த பயனுள்ள தகவலையும் கொண்டிருக்கவில்லை மற்றும் டெவலப்பர்களிடமிருந்து பயனுள்ள ஒன்றை செலவழிக்கக்கூடிய நேரத்தை மட்டுமே எடுத்துக் கொண்டது.
வடிவமைப்பின் வெளிப்புறத் தரம் தகவலில் கூடுதல் நம்பிக்கையை உருவாக்குவதால், டெவலப்பர் எதையாவது தவறாகப் புரிந்துகொண்டதாக எண்ணம் இருப்பதால், டெவலப்பர்கள் பயனற்ற அறிக்கைகளைப் பாகுபடுத்துவதற்கும், அதில் உள்ள தகவல்களைப் பலமுறை சரிபார்ப்பதற்கும் நிறைய நேரத்தை வீணடிக்க வேண்டிய கட்டாயத்தில் உள்ளனர். மறுபுறம், அத்தகைய அறிக்கையை உருவாக்குவதற்கு விண்ணப்பதாரரிடமிருந்து குறைந்தபட்ச முயற்சி தேவைப்படுகிறது, அவர் உண்மையான சிக்கலைச் சரிபார்த்து கவலைப்படுவதில்லை, ஆனால் AI உதவியாளர்களிடமிருந்து பெறப்பட்ட தரவை வெறுமனே கண்மூடித்தனமாக நகலெடுக்கிறார், வெகுமதியைப் பெறுவதற்கான போராட்டத்தில் அதிர்ஷ்டத்தை எதிர்பார்க்கிறார்.
அத்தகைய குப்பை அறிக்கைகளுக்கு இரண்டு எடுத்துக்காட்டுகள் கொடுக்கப்பட்டுள்ளன. ஆபத்தான அக்டோபர் பாதிப்பு (CVE-2023-38545) பற்றிய தகவல்களைத் திட்டமிட்டு வெளியிடுவதற்கு முந்தைய நாள், ஃபிக்ஸுடன் கூடிய பேட்ச் பொதுவில் கிடைத்துவிட்டதாக ஹேக்கரோன் மூலம் ஒரு அறிக்கை அனுப்பப்பட்டது. உண்மையில், கூகுளின் AI உதவியாளர் பார்டால் தொகுக்கப்பட்ட இதே போன்ற பிரச்சனைகள் மற்றும் கடந்தகால பாதிப்புகள் பற்றிய விரிவான தகவல்களின் துணுக்குகள் பற்றிய உண்மைகளின் கலவையை அறிக்கை கொண்டுள்ளது. இதன் விளைவாக, தகவல் புதியதாகவும் பொருத்தமானதாகவும் இருந்தது, மேலும் யதார்த்தத்துடன் எந்த தொடர்பும் இல்லை.
இரண்டாவது உதாரணம், WebSocket ஹேண்ட்லரில் உள்ள இடையக வழிதல் பற்றி டிசம்பர் 28 அன்று பெறப்பட்ட செய்தியைப் பற்றியது, இது ஏற்கனவே ஹேக்கரோன் மூலம் பாதிப்புகள் குறித்து பல்வேறு திட்டங்களைத் தெரிவித்த பயனரால் அனுப்பப்பட்டது. சிக்கலை மீண்டும் உருவாக்குவதற்கான ஒரு முறையாக, strcpy உடன் நகலெடுக்கும் போது பயன்படுத்தப்படும் இடையகத்தின் அளவை விட பெரிய மதிப்புடன் மாற்றியமைக்கப்பட்ட கோரிக்கையை அனுப்புவது பற்றிய பொதுவான வார்த்தைகளை அறிக்கை உள்ளடக்கியது. அறிக்கை ஒரு திருத்தத்தின் உதாரணத்தையும் வழங்கியது (strcpy ஐ strncpy உடன் மாற்றுவதற்கான எடுத்துக்காட்டு) மற்றும் "strcpy(keyval, randstr)" குறியீட்டின் வரிக்கான இணைப்பைக் குறிக்கிறது, இது விண்ணப்பதாரரின் கூற்றுப்படி, பிழையைக் கொண்டுள்ளது.
டெவலப்பர் எல்லாவற்றையும் மூன்று முறை இருமுறை சரிபார்த்து, எந்த பிரச்சனையும் இல்லை, ஆனால் அறிக்கை நம்பிக்கையுடன் எழுதப்பட்டதால், திருத்தம் கூட இருப்பதால், எங்காவது ஏதோ காணவில்லை என்ற உணர்வு இருந்தது. strcpy அழைப்பிற்கு முன் இருக்கும் வெளிப்படையான அளவு சரிபார்ப்பை ஆராய்ச்சியாளர் எவ்வாறு புறக்கணித்தார் என்பதையும், கீவல் பஃபரின் அளவு படித்த தரவின் அளவை விட குறைவாக இருந்தது என்பதையும் தெளிவுபடுத்தும் முயற்சியானது விரிவான, ஆனால் கூடுதல் தகவல், விளக்கங்களை எடுத்துச் செல்லவில்லை. குறிப்பிட்ட கர்ல் குறியீட்டுடன் தொடர்பில்லாத பஃபர் ஓவர்ஃப்ளோவின் வெளிப்படையான பொதுவான காரணங்களை மட்டுமே மெல்லும். பதில்கள் AI உதவியாளருடன் தொடர்புகொள்வதை நினைவூட்டுகின்றன, மேலும் சிக்கல் எவ்வாறு வெளிப்படுகிறது என்பதைக் கண்டறிய அரை நாள் அர்த்தமற்ற முயற்சிகளில் செலவழித்த பிறகு, டெவலப்பர் இறுதியாக எந்த பாதிப்பும் இல்லை என்று உறுதியாக நம்பினார்.
ஆதாரம்: opennet.ru