Deniel Stenberg, tarmoq jingalaklari orqali ma'lumotlarni qabul qilish va jo'natish uchun yordamchi dastur muallifi zaiflik hisobotlarini yaratishda AI vositalaridan foydalanishni tanqid qildi. Bunday hisobotlar batafsil ma'lumotlarni o'z ichiga oladi, oddiy tilda yozilgan va yuqori sifatli ko'rinadi, lekin haqiqatda o'ylangan tahlilsiz ular faqat chalg'ituvchi bo'lishi mumkin va haqiqiy muammolarni yuqori sifatli ko'rinadigan axlat tarkibi bilan almashtiradi.
Curl loyihasi yangi zaifliklarni aniqlaganlik uchun mukofot to'laydi va potentsial muammolar haqida allaqachon 415 ta hisobot olgan, ulardan faqat 64 tasi zaiflik va 77 tasi xavfsizlikka oid bo'lmagan xatoliklar sifatida tasdiqlangan. Shunday qilib, barcha hisobotlarning 66% hech qanday foydali ma'lumotni o'z ichiga olmaydi va faqat ishlab chiquvchilardan foydali narsaga sarflanishi mumkin bo'lgan vaqtni oldi.
Ishlab chiquvchilar foydasiz hisobotlarni tahlil qilish va u erda mavjud bo'lgan ma'lumotlarni bir necha marta qayta tekshirish uchun ko'p vaqt sarflashga majbur bo'lishadi, chunki dizaynning tashqi sifati ma'lumotlarga qo'shimcha ishonch hosil qiladi va ishlab chiquvchi nimanidir noto'g'ri tushunganligi hissi paydo bo'ladi. Boshqa tomondan, bunday hisobotni yaratish abituriyentdan minimal kuch talab qiladi, u haqiqiy muammo bor-yo‘qligini tekshirish bilan ovora bo‘lmaydi, balki mukofot olish uchun kurashda omadga umid qilib, sun’iy intellekt yordamchilaridan olingan ma’lumotlarni ko‘r-ko‘rona ko‘chirib oladi.
Bunday axlat hisobotlarining ikkita misoli keltirilgan. Oktyabr oyida xavfli zaiflik (CVE-2023-38545) haqidagi ma'lumotlarning rejalashtirilgan oshkor etilishidan bir kun oldin Hackerone orqali tuzatilgan yamoq ommaga ochiq bo'lganligi haqida xabar yuborildi. Aslida, hisobotda shunga o'xshash muammolar haqidagi faktlar va Googlening sun'iy intellekt bo'yicha yordamchisi Bard tomonidan tuzilgan o'tmishdagi zaifliklar haqidagi batafsil ma'lumotlarning parchalari mavjud edi. Natijada, ma'lumotlar yangi va dolzarb bo'lib ko'rindi va haqiqat bilan hech qanday aloqasi yo'q edi.
Ikkinchi misol 28-dekabr kuni WebSocket ishlov beruvchisida bufer to‘lib ketgani haqida olingan xabarga tegishli bo‘lib, u allaqachon Hackerone orqali turli loyihalarni zaifliklar haqida xabardor qilgan foydalanuvchi tomonidan yuborilgan. Muammoni takrorlash usuli sifatida hisobotda strcpy bilan nusxa ko'chirishda ishlatiladigan bufer hajmidan kattaroq qiymatga ega o'zgartirilgan so'rovni uzatish haqida umumiy so'zlar mavjud. Hisobotda, shuningdek, tuzatish misoli keltirildi (strcpy ni strncpy bilan almashtirish misoli) va “strcpy(keyval, randstr)” kod qatoriga havola ko‘rsatilgan, unda arizachining so‘zlariga ko‘ra, xatolik mavjud.
Ishlab chiquvchi hamma narsani uch marta ikki marta tekshirdi va hech qanday muammo topmadi, ammo hisobot ishonchli tarzda yozilganligi va hatto tuzatish kiritilganligi sababli, biror joyda biror narsa etishmayotgandek tuyuldi. Tadqiqotchi strcpy qo'ng'irog'idan oldin mavjud bo'lgan aniq o'lcham tekshiruvini qanday chetlab o'tishga muvaffaq bo'lganligi va kalit buferining o'lchami o'qilgan ma'lumotlar hajmidan qanday kam bo'lganligini aniqlashga urinish batafsil, ammo qo'shimcha ma'lumotga ega bo'lmagan tushuntirishlarga olib keldi. Bu faqat ma'lum Curl kodi bilan bog'liq bo'lmagan bufer to'lib ketishining aniq umumiy sabablarini chaynadi. Javoblar sun'iy intellekt bo'yicha yordamchi bilan muloqot qilishni eslatdi va muammoning o'zini qanday namoyon qilishini aniq bilish uchun yarim kunni behuda urinishlarga sarflaganidan so'ng, ishlab chiquvchi nihoyat hech qanday zaiflik yo'qligiga amin bo'ldi.
Manba: opennet.ru