Projek curl yang popular telah melaksanakan dasar larangan serta-merta untuk penyelidik keselamatan yang menyerahkan laporan kerentanan dijana AI, berikutan banjiran penemuan keselamatan berkualiti rendah dan palsu yang telah membebankan penyelenggara dan menghabiskan sumber pembangunan yang berharga.
Laporan Keselamatan Dijana AI yang Didokumentasikan oleh curl:
- Jumlah laporan: 17 kes
- Jenis laporan: Limpahan penimbal, kerentanan rentetan format, kebocoran memori, isu kriptografi
- Platform: Program bounty pepijat HackerOne
- Respons dasar: Larangan serta-merta untuk penyerahan dijana AI
Skala Spam Laporan Dijana AI
Pasukan curl telah mendokumentasikan 17 kes khusus laporan keselamatan dijana AI yang diserahkan melalui program bug bounty HackerOne mereka. Laporan-laporan ini terdiri daripada dakwaan kerentanan buffer overflow hingga isu algoritma kriptografi, tetapi semuanya berkongsi ciri yang sama: ia adalah rekaan alat kecerdasan buatan tanpa sebarang pemahaman sebenar tentang pangkalan kod atau penyelidikan keselamatan yang tulen.
Ahli komuniti telah menyatakan bahawa kebanyakan laporan ini mengikuti corak yang boleh diramal. Penyerahan sering membuat dakwaan samar tentang jenis kerentanan yang terkenal seperti buffer overflow dalam fungsi seperti strcpy(), tetapi gagal memberikan nombor baris khusus, kod bukti konsep, atau sebarang bukti konkrit tentang kelemahan keselamatan sebenar.
Ciri-ciri Umum Laporan yang Dijana AI:
- Dakwaan kelemahan yang samar-samar tanpa bukti khusus
- Kegagalan untuk menyediakan nombor baris atau kod bukti konsep
- Penerangan generik mengenai jenis kelemahan yang sudah diketahui umum
- Respons berulang apabila disoal oleh penyelenggara
- Menyalin dan menampal soalan susulan kembali ke dalam alat AI
Pengurasan Sumber pada Penyelenggara Sumber Terbuka
Kesan kepada penyelenggara curl adalah ketara. Setiap laporan keselamatan memerlukan penyiasatan dan respons yang teliti, tanpa mengira kualitinya, kerana kerentanan keselamatan yang sah mesti diambil serius. Ini mewujudkan beban asimetrik di mana AI boleh menjana berpuluh laporan dalam beberapa minit, tetapi pakar manusia memerlukan jam atau hari untuk menyiasat dan menafikan setiap dakwaan palsu dengan betul.
Seorang pemerhati komuniti menyerlahkan masalah teras: laporan-laporan ini berfungsi sama seperti serangan penafian perkhidmatan teragih pada keupayaan respons keselamatan projek. Apabila penyelenggara menghabiskan masa menyiasat kerentanan palsu, mereka mempunyai kurang kapasiti untuk menangani isu keselamatan sebenar dan kerja pembangunan yang sah.
Kemerosotan Kualiti Program Bug Bounty
Situasi ini mencerminkan cabaran yang lebih luas yang dihadapi program bug bounty di seluruh industri teknologi. Apa yang dahulunya merupakan cara berharga untuk penyelidik keselamatan menyumbang kepada keselamatan perisian kini sedang dilemahkan oleh individu yang menggunakan alat AI untuk menjana laporan kerentanan yang kedengaran munasabah tetapi akhirnya tidak bernilai.
Laporan ini dan laporan anda yang lain nampaknya seperti serangan terhadap sumber kami untuk mengendalikan isu keselamatan.
Kekecewaan pasukan curl jelas dalam komunikasi mereka dengan penyerah laporan. Kebanyakan laporan dijana AI menjadi lebih bermasalah apabila penyelenggara bertanya soalan susulan, kerana penyerah sering menyalin-tampal soalan kembali ke dalam alat AI mereka, mewujudkan perbualan berputar yang membuang lebih banyak masa.
Penghujung Andaian Niat Baik
Keputusan projek curl untuk melaksanakan larangan serta-merta mewakili peralihan daripada mengandaikan niat baik dalam laporan keselamatan. Sebelum ini, penyelenggara akan bekerja dengan sabar bersama penyelidik yang mungkin bergelut untuk menyatakan isu teknikal dengan jelas. Walau bagaimanapun, jumlah dan sifat jelas spam dijana AI telah memaksa mereka menggunakan pendekatan penapisan yang lebih agresif.
Perubahan ini mungkin malangnya memberi kesan kepada penyelidik sah yang kurang kemahiran penulisan teknikal yang kuat tetapi telah menemui kerentanan sebenar. Komuniti kini sedang membincangkan penyelesaian berpotensi, termasuk memerlukan butiran teknikal khusus seperti nombor baris atau input bukti konsep sebelum laporan diterima untuk semakan.
Pengalaman pasukan curl berfungsi sebagai amaran untuk projek sumber terbuka lain tentang ancaman baru spam laporan keselamatan dijana AI dan keperluan untuk dasar baru bagi melindungi sumber penyelenggara sambil memelihara saluran penyelidikan keselamatan yang sah.
Rujukan: Slop