Ağ kıvrımı üzerinden veri almaya ve göndermeye yönelik bir yardımcı programın yazarı Daniel Stenberg, güvenlik açığı raporları oluştururken yapay zeka araçlarının kullanımını eleştirdi. Bu tür raporlar ayrıntılı bilgiler içerir, normal dilde yazılır ve yüksek kaliteli görünür, ancak gerçekte dikkatli bir analiz yapılmazsa yalnızca yanıltıcı olabilirler ve gerçek sorunların yerini kaliteli görünen çöp içeriklerle değiştirebilirler.
Curl projesi, yeni güvenlik açıklarını tespit etmek için ödül ödüyor ve halihazırda 415 potansiyel sorun raporu aldı; bunlardan yalnızca 64'ü güvenlik açığı ve 77'si güvenlikle ilgili olmayan hatalar olarak doğrulandı. Bu nedenle, tüm raporların %66'sı herhangi bir yararlı bilgi içermiyordu ve geliştiricilerin yalnızca yararlı bir şeye harcanabilecek zamanlarını çalıyordu.
Tasarımın dış kalitesi bilgilere ek güven oluşturduğundan ve geliştiricinin bir şeyi yanlış anladığı hissi oluştuğundan, geliştiriciler gereksiz raporları ayrıştırarak ve orada bulunan bilgileri birkaç kez tekrar kontrol ederek çok fazla zaman harcamak zorunda kalıyor. Öte yandan, böyle bir raporun oluşturulması, gerçek bir sorunu kontrol etme zahmetine girmeyen, ancak ödül alma mücadelesinde şans umarak yapay zeka asistanlarından alınan verileri körü körüne kopyalayan başvuru sahibinin asgari düzeyde çaba göstermesini gerektirir.
Bu tür çöp raporlarına iki örnek verilmiştir. Ekim ayındaki tehlikeli güvenlik açığına (CVE-2023-38545) ilişkin bilgilerin planlanan şekilde açıklanmasından bir gün önce, Hackerone aracılığıyla düzeltmeyi içeren yamanın kamuya açık hale geldiğine dair bir rapor gönderildi. Aslında rapor, benzer sorunlarla ilgili gerçeklerin bir karışımını ve Google'ın AI asistanı Bard tarafından derlenen geçmiş güvenlik açıklarına ilişkin ayrıntılı bilgilerin parçacıklarını içeriyordu. Sonuç olarak bilgiler yeni ve alakalı görünüyordu ve gerçeklikle hiçbir bağlantısı yoktu.
İkinci örnek, Hackerone aracılığıyla çeşitli projeleri güvenlik açıkları hakkında bilgilendiren bir kullanıcı tarafından 28 Aralık'ta WebSocket işleyicisindeki arabellek taşması hakkında gönderilen bir mesajla ilgilidir. Sorunu yeniden oluşturmanın bir yöntemi olarak rapor, strcpy ile kopyalama sırasında kullanılan arabellek boyutundan daha büyük bir değere sahip değiştirilmiş bir isteğin iletilmesine ilişkin genel sözcükler içeriyordu. Raporda ayrıca bir düzeltme örneği de verilmiş (strcpy'nin strncpy ile değiştirilmesi örneği) ve başvuru sahibine göre bir hata içeren "strcpy(keyval, randstr)" kod satırına bir bağlantı belirtilmiştir.
Geliştirici her şeyi üç kez tekrar kontrol etti ve herhangi bir sorun bulamadı, ancak rapor güvenle yazıldığından ve hatta bir düzeltme içerdiğinden, bir yerlerde bir şeylerin eksik olduğu hissi vardı. Araştırmacının, strcpy çağrısından önce mevcut olan açık boyut kontrolünü nasıl atlamayı başardığını ve keyval arabelleğinin boyutunun, okunan verinin boyutundan nasıl daha küçük olduğunu açıklığa kavuşturma girişimi, ayrıntılı ancak ek bilgi taşımayan açıklamalara yol açtı. bu sadece belirli Curl koduyla ilgili olmayan arabellek taşmasının bariz yaygın nedenlerini çiğnedi. Cevaplar bir yapay zeka asistanıyla iletişim kurmaya benziyordu ve sorunun tam olarak nasıl ortaya çıktığını bulmak için yarım gün anlamsız girişimlerde bulunduktan sonra geliştirici, sonunda aslında hiçbir güvenlik açığı olmadığına ikna oldu.
Kaynak: opennet.ru