Theo de Raadt 在收到 AI 工具產生的錯誤漏洞報告後,重新命名了 pfsync 封包頭中的一個欄位。他將“pfcksum[PF_MD5_DIGEST_LENGTH]”欄位重新命名為“spare[16]”,因為 AI 模型誤認為 pfcksum 名稱表示該欄位儲存了資料包內容的雜湊值或校驗和,並且由於該欄位未經驗證,因此誤認為程式碼存在漏洞。
Teo解釋說,在pfsync開發的早期階段,加入這個欄位是為了儲存規則集雜湊值,以優化狀態檢查。這個想法最終被放棄了,但為了向後相容,該字段被保留了下來,並且始終填充為零。在程式碼中,該欄位僅在資料包結構中被引用,既不進行檢查也不填入。
產生的AI報告聲稱存在漏洞,因為該欄位在資料包發送時計算,但在接收時未進行驗證。報告詳細解釋了問題的運作原理和來源,但實際上,這只是AI的臆想,完全基於程式碼中使用了「pfcksum」和「PF_MD5_DIGEST_LENGTH」這兩個字而捏造出來的。使用AI查找漏洞的人在提交漏洞報告之前,根本沒有驗證結果。
來源: opennet.ru
