Даниел Стенберг, муаллифи як утилита барои қабул ва ирсоли маълумот тавассути curl шабака, истифодаи абзорҳои AI ҳангоми таҳияи гузоришҳо дар бораи осебпазириро танқид кард. Чунин гузоришҳо маълумоти муфассалро дар бар мегиранд, бо забони муқаррарӣ навишта шудаанд ва бо сифати баланд ба назар мерасанд, аммо бидуни таҳлили оқилона дар воқеият онҳо метавонанд танҳо гумроҳкунанда бошанд ва мушкилоти воқеиро бо мундариҷаи партовҳои сифатнок иваз кунанд.
Лоиҳаи Curl барои муайян кардани осебпазириҳои нав мукофот медиҳад ва аллакай 415 гузориш дар бораи мушкилоти эҳтимолӣ гирифтааст, ки танҳо 64-тоаш ҳамчун осебпазирӣ ва 77-тоаш ҳамчун иштибоҳҳои ғайриамниятӣ тасдиқ шудаанд. Ҳамин тариқ, 66% ҳамаи гузоришҳо ягон маълумоти муфидро дар бар намегиранд ва танҳо вақтҳои таҳиягаронро гирифтанд, ки метавонистанд барои чизи муфид сарф шаванд.
Таҳиягарон маҷбур мешаванд, ки вақти зиёдро барои таҳлили гузоришҳои бефоида ва борҳо такроран тафтиш кардани маълумоти дар он мавҷудбуда сарф кунанд, зеро сифати берунии тарҳ эътимоди иловагиро ба иттилоот ба вуҷуд меорад ва эҳсосе вуҷуд дорад, ки таҳиякунанда чизеро нодуруст фаҳмидааст. Аз тарафи дигар, таҳияи чунин ҳисобот аз довталаб кӯшиши ҳадди ақалро талаб мекунад, ки вай барои тафтиш кардани мушкилоти воқеӣ ташвиш намедиҳад, балки маълумоти аз ёварони AI гирифташударо кӯр-кӯрона нусхабардорӣ мекунад ва ба умеди муваффақият дар мубориза барои гирифтани мукофот.
Ду мисоли чунин гузоришҳои ахлот оварда шудаанд. Як рӯз пеш аз ифшои ба нақша гирифташудаи маълумот дар бораи осебпазирии хатарноки октябр (CVE-2023-38545), тавассути Hackerone гузориш фиристода шуд, ки ямоқи ислоҳшуда дастраси умум шудааст. Дарвоқеъ, гузориш омехтаи далелҳо дар бораи мушкилоти шабеҳ ва пораҳои маълумоти муфассалро дар бораи осебпазириҳои гузашта, ки аз ҷониби ёрдамчии AI-и Google Бард тартиб додааст, дар бар мегирад. Дар натиҷа, иттилоот нав ва мувофиқ ба назар мерасид ва бо воқеият робитае надошт.
Мисоли дуюм ба паёме дахл дорад, ки 28 декабр дар бораи фаромадани буфер дар коркардкунандаи WebSocket гирифта шудааст, ки аз ҷониби корбаре фиристода шудааст, ки аллакай лоиҳаҳои гуногунро дар бораи осебпазириҳо тавассути Hackerone огоҳ карда буд. Ҳамчун усули такрори мушкилот, гузориш калимаҳои умумиро дар бораи интиқоли дархости тағирёфта бо арзиши калонтар аз андозаи буфере, ки ҳангоми нусхабардорӣ бо strcpy истифода мешавад, дар бар мегирад. Дар гузориш ҳамчунин намунаи ислоҳ (намунаи иваз кардани strcpy бо strncpy) оварда шуда, истинод ба хати коди "strcpy(keyval, randstr)" нишон дода шудааст, ки ба гуфтаи довталаб, иштибоҳ дорад.
Таҳиягар ҳама чизро се маротиба дубора тафтиш кард ва ҳеҷ мушкиле наёфт, аммо азбаски гузориш дилпурона навишта шуда буд ва ҳатто ислоҳро дар бар мегирад, эҳсосе ба вуҷуд омад, ки дар ҷое чизе намерасад. Кӯшиши равшан кардани он, ки чӣ гуна муҳаққиқ тавонистааст санҷиши дақиқи андозаи пеш аз занги strcpy мавҷудбударо гузарад ва чӣ гуна андозаи буфери клавиатура аз андозаи маълумоти хондашуда камтар аст, боиси тафсилоти муфассал, вале дар бар намегирад маълумоти иловагӣ, шарҳҳо гардад. ки танҳо дар бораи сабабҳои маъмули фаромадани буфер, ки бо рамзи мушаххаси Curl алоқаманд нестанд, хоидан. Ҷавобҳо муошират бо ассистенти AI-ро ба хотир меоварданд ва пас аз сарфи ним рӯз барои кӯшишҳои бемаънӣ барои муайян кардани дақиқи чӣ гуна мушкилот, таҳиякунанда дар ниҳоят итминон ҳосил кард, ки дар асл ягон осебпазирӣ вуҷуд надорад.
Манбаъ: opennet.ru