ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > AI సాధనాల ద్వారా తయారు చేయబడిన దుర్బలత్వ నివేదికల కారణంగా సమస్యలు

AI సాధనాల ద్వారా తయారు చేయబడిన దుర్బలత్వ నివేదికల కారణంగా సమస్యలు

నెట్‌వర్క్ కర్ల్ ద్వారా డేటాను స్వీకరించడం మరియు పంపడం కోసం ఒక యుటిలిటీ రచయిత డేనియల్ స్టెన్‌బర్గ్, దుర్బలత్వ నివేదికలను రూపొందించేటప్పుడు AI సాధనాలను ఉపయోగించడాన్ని విమర్శించారు. ఇటువంటి నివేదికలు వివరణాత్మక సమాచారాన్ని కలిగి ఉంటాయి, సాధారణ భాషలో వ్రాయబడ్డాయి మరియు అధిక-నాణ్యతతో కనిపిస్తాయి, కానీ వాస్తవానికి ఆలోచనాత్మక విశ్లేషణ లేకుండా అవి తప్పుదారి పట్టించేవిగా ఉంటాయి, నిజమైన సమస్యలను నాణ్యతగా కనిపించే చెత్త కంటెంట్‌తో భర్తీ చేస్తాయి.

కొత్త దుర్బలత్వాలను గుర్తించినందుకు కర్ల్ ప్రాజెక్ట్ రివార్డ్‌లను చెల్లిస్తుంది మరియు సంభావ్య సమస్యల గురించి ఇప్పటికే 415 నివేదికలను అందుకుంది, వాటిలో 64 మాత్రమే దుర్బలత్వాలు మరియు 77 నాన్-సెక్యూరిటీ బగ్‌లుగా నిర్ధారించబడ్డాయి. అందువల్ల, అన్ని నివేదికలలో 66% ఎటువంటి ఉపయోగకరమైన సమాచారాన్ని కలిగి లేవు మరియు ఉపయోగకరమైన వాటి కోసం ఖర్చు చేయగల డెవలపర్‌ల నుండి సమయాన్ని మాత్రమే తీసుకున్నాయి.

డెవలపర్‌లు పనికిరాని నివేదికలను అన్వయించడం మరియు అక్కడ ఉన్న సమాచారాన్ని అనేకసార్లు రెండుసార్లు తనిఖీ చేయడం ద్వారా ఎక్కువ సమయాన్ని వృథా చేయవలసి వస్తుంది, ఎందుకంటే డిజైన్ యొక్క బాహ్య నాణ్యత సమాచారంపై అదనపు విశ్వాసాన్ని సృష్టిస్తుంది మరియు డెవలపర్ ఏదో తప్పుగా అర్థం చేసుకున్నారనే భావన ఉంది. మరోవైపు, అటువంటి నివేదికను రూపొందించడానికి దరఖాస్తుదారు నుండి కనీస ప్రయత్నం అవసరం, అతను నిజమైన సమస్యను తనిఖీ చేయడంలో ఇబ్బంది పడడు, కానీ AI సహాయకుల నుండి అందుకున్న డేటాను గుడ్డిగా కాపీ చేస్తాడు, బహుమతిని పొందే పోరాటంలో అదృష్టం కోసం ఆశతో.

అటువంటి చెత్త నివేదికలకు రెండు ఉదాహరణలు ఇవ్వబడ్డాయి. ప్రమాదకరమైన అక్టోబర్ వల్నరబిలిటీ (CVE-2023-38545) గురించిన సమాచారాన్ని ప్రణాళికాబద్ధంగా బహిర్గతం చేయడానికి ముందు రోజు, పరిష్కారముతో కూడిన ప్యాచ్ పబ్లిక్‌గా అందుబాటులోకి వచ్చిందని హ్యాకరోన్ ద్వారా ఒక నివేదిక పంపబడింది. వాస్తవానికి, నివేదికలో సారూప్య సమస్యల గురించి వాస్తవాల మిశ్రమం మరియు Google యొక్క AI అసిస్టెంట్ బార్డ్ సంకలనం చేసిన గత దుర్బలత్వాల గురించి వివరణాత్మక సమాచారం యొక్క స్నిప్పెట్‌లు ఉన్నాయి. ఫలితంగా, సమాచారం కొత్తగా మరియు సంబంధితంగా కనిపించింది మరియు వాస్తవికతతో ఎటువంటి సంబంధం లేదు.

రెండవ ఉదాహరణ వెబ్‌సాకెట్ హ్యాండ్లర్‌లో బఫర్ ఓవర్‌ఫ్లో గురించి డిసెంబర్ 28న అందిన సందేశానికి సంబంధించినది, హ్యాకరోన్ ద్వారా దుర్బలత్వాల గురించి ఇప్పటికే వివిధ ప్రాజెక్ట్‌లకు సమాచారం అందించిన వినియోగదారు పంపారు. సమస్యను పునరుత్పత్తి చేసే పద్ధతిగా, strcpyతో కాపీ చేసేటప్పుడు ఉపయోగించే బఫర్ పరిమాణం కంటే పెద్ద విలువతో సవరించిన అభ్యర్థనను పంపడం గురించి సాధారణ పదాలను నివేదిక చేర్చింది. నివేదిక దిద్దుబాటు యొక్క ఉదాహరణను కూడా అందించింది (strcpyని strncpyతో భర్తీ చేయడానికి ఒక ఉదాహరణ) మరియు "strcpy(keyval, randstr)" కోడ్ లైన్‌కు లింక్‌ను సూచించింది, దరఖాస్తుదారు ప్రకారం, లోపం ఉంది.

డెవలపర్ ప్రతిదీ మూడుసార్లు రెండుసార్లు తనిఖీ చేసాడు మరియు ఏ సమస్యలను కనుగొనలేదు, కానీ నివేదిక నమ్మకంగా వ్రాయబడింది మరియు దిద్దుబాటు కూడా కలిగి ఉన్నందున, ఎక్కడో ఏదో తప్పిపోయిన భావన ఉంది. strcpy కాల్‌కు ముందు ఉన్న స్పష్టమైన పరిమాణ తనిఖీని పరిశోధకుడు ఎలా దాటవేయగలిగాడు మరియు కీవాల్ బఫర్ యొక్క పరిమాణం రీడ్ డేటా పరిమాణం కంటే ఎలా తక్కువగా ఉంది అనే విషయాన్ని వివరించే ప్రయత్నం వివరణాత్మకమైన, కానీ అదనపు సమాచారం, వివరణలకు దారితీసింది. నిర్దిష్ట కర్ల్ కోడ్‌తో సంబంధం లేని బఫర్ ఓవర్‌ఫ్లో యొక్క స్పష్టమైన సాధారణ కారణాలను మాత్రమే నమిలేస్తుంది. సమాధానాలు AI అసిస్టెంట్‌తో కమ్యూనికేట్ చేయడాన్ని గుర్తుకు తెస్తాయి మరియు సమస్య ఎలా వ్యక్తమవుతుందో తెలుసుకోవడానికి అర్ధంలేని ప్రయత్నాలలో సగం రోజులు గడిపిన తర్వాత, డెవలపర్ చివరకు ఎటువంటి హాని లేదని నిర్ధారించారు.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి