
Az AI a biztonsági problémák észlelésére szolgál
Pár napja, Dániel Stenberg (a Curl szerzője) tudtára adta a blogodon, egy bejegyzés amelyben nemcsak a bírálja a mesterséges intelligencia eszközeinek használatát, hanem panasz formájában azt a kellemetlenséget, amit ez számára és csapata számára generál, a mesterséges intelligencia eszközök által generált biztonsági jelentéseket.
Kiadványában pedig Daniel Stenberg megemlíti, hogy sok éven át az összes jelentés ellenőrzése és eldobása a „szemét” és a „valódi” biztonsági problémák között, Ez nem olyan dolog, ami extra erőfeszítést igényelt., mivel megemlíti, hogy "a szemétjelentések is általában nagyon könnyen és gyorsan észlelhetők és elvehetők."
A mesterséges intelligencia közelmúltbeli térnyerésével, számos olyan feladat, amely korábban több órás emberi beavatkozást igényelt, forradalmasította. Ebben a blogban a legtöbbet emlegetett esetek között foglalkoztunk a programozásnak, képgenerálásnak és videószerkesztésnek szentelt mesterséges intelligencia témáival, mint például a ChatGPT, a Copilot, a Bard stb.
A programozás sajátos területén a Copilot számos kritikát váltott ki, amelyek közül a fő probléma a jogi perek lehetősége volt. A skála másik végén azonban a mesterséges intelligencia beavatkozása jelentősen átalakította a különböző területeket. Például a kód hibáinak és biztonsági problémáinak észlelésében az AI-k döntő szerepet játszottak. Sokan alkalmazták ezeket az eszközöket a kód lehetséges hibáinak és sebezhetőségeinek azonosítására, gyakran részt vesznek a biztonsági problémák észlelésére szolgáló jutalomprogramokban.
Curl nem kerülte el ezt a trendet, mondta Daniel Stenberg a blogján, hogy Miután több hónapig visszatartotta véleményét, végül felrobbant nem ért egyet a mesterséges intelligencia eszközeinek használatával. A csalódottság oka volt a egyre több „szemét” jelentés jön létre ezen eszközök használatával.
A kiadványban kiemelik, hogy Ezek a jelentések részletes megjelenésűek, normál nyelven íródnak, és jó minőségűnek tűnnek. Alapos elemzés nélkül azonban félrevezetőnek bizonyulnak, mivel a valódi problémákat az alacsony minőségű, értékesnek tűnő tartalommal helyettesítik.
A projekt Curl, amely jutalmat kínál az új sebezhetőségek azonosításáért, összesen 415 bejelentés érkezett lehetséges problémákról. Ebből a készletből csak 64-et erősítettek meg valós sebezhetőségként, 77 nem biztonsággal kapcsolatos hibákat írt le, és meglepő módon 274 (66%) nem tartalmazott hasznos információkat, felemészti a fejlesztők idejét, amit valami hasznosra fordíthattak volna.
A fejlesztők kénytelenek sok időt vesztegetni a haszontalan jelentések elemzésével és az abban foglalt információk többszöri ellenőrzésével, mivel a tervezés külső minősége további bizalmat kelt az információban, és az az érzés, hogy a fejlesztő nem értett valamit.
Másrészt egy ilyen jelentés elkészítése minimális erőfeszítést igényel a kérelmezőtől, aki nem veszi a fáradságot, hogy ellenőrizze, hogy valódi probléma van-e, hanem egyszerűen vakon másolja az AI-asszisztensektől kapott adatokat, remélve, hogy szerencséje lesz. a jutalom elnyeréséért vívott harcban.
Daniel Stenberg, Osszon meg két példát az ilyen típusú szemétbejelentésekre:
- Az első esetben, közvetlenül a kritikus sérülékenységgel kapcsolatos információk tervezett októberi közzététele előtt, egy jelentés érkezett a HackerOne-on keresztül, amely szerint már létezik nyilvános javítás a probléma megoldására. A jelentés azonban „hamisnak” bizonyult, mivel hasonló problémákkal kapcsolatos adatokat, valamint a korábbi sebezhetőségekről szóló részleteket tartalmazott, amelyeket a Google mesterséges intelligencia-asszisztense, Bard állított össze. Bár az információ újszerűnek és relevánsnak tűnt, hiányzott a valósághoz való kapcsolata.
- A második esetben a WebSocket kezelés puffertúlcsordulásáról érkezett jelentés. Ez a jelentés egy olyan felhasználótól érkezett, aki a HackerOne-on keresztül már több projekt sebezhetőségét jelentette. A probléma reprodukálása érdekében a jelentés általános utasításokat tartalmaz a módosított kérelem benyújtására vonatkozóan, valamint egy példajavítást.
A kód alapos háromszoros ellenőrzése ellenére a fejlesztő nem talált semmilyen problémát. Mivel azonban a jelentést úgy írták, hogy „némi” bizalmat keltsen, és még megoldási javaslatot is bemutatott, továbbra is megmaradt az az érzés, hogy valami nem jön össze.
Annak tisztázása érdekében, hogy a felhasználó hogyan tudta megkerülni a méretellenőrzést, megemlítik, hogy a magyarázatok nem tartalmaztak további információkat, és csak a puffertúlcsordulás nyilvánvaló gyakori okait tárgyalták, amelyek nem kapcsolódnak a Curl kódhoz. A válaszok egy mesterséges intelligencia asszisztenssel való kommunikációra emlékeztettek, és miután hiábavaló próbálkozások voltak, hogy kiderítsék, hogyan nyilvánul meg a probléma, Daniel Stenberg végül meggyőződött arról, hogy valójában nem létezik sebezhetőség, és a témát „alkalmazhatatlan”-ként zárta.
Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő link.