Joshua Rogers menjadi tumpuan dalam komuniti sumber terbuka dengan menemui lebih 22 bug yang disahkan dalam cURL , salah satu perpustakaan rangkaian yang paling banyak digunakan di dunia. Apa yang menjadikan penemuan ini sangat ketara ialah bagaimana Rogers mencapainya - melalui gabungan canggih alat analisis keselamatan berkuasa AI dan bukannya semakan kod manual tradisional.
Kisah kejayaan ini sangat berbeza dengan banjiran laporan bug berkualiti rendah yang dijana AI yang telah mengganggu penyelenggara sumber terbuka. Daniel Stenberg , penyelenggara utama cURL , sebelum ini telah menyatakan kekecewaan dengan penyelidik keselamatan amatur yang hanya melemparkan kod kepada ChatGPT dan menyerahkan apa sahaja kelemahan yang didakwa ditemui oleh AI, tanpa pengesahan yang betul.
Cara Yang Betul Untuk Menggunakan AI Bagi Analisis Keselamatan
Pendekatan Rogers menunjukkan bagaimana AI boleh dimanfaatkan secara berkesan untuk analisis kod apabila digunakan oleh seseorang yang mempunyai kepakaran yang sesuai. Daripada bergantung kepada model bahasa tujuan umum, beliau menggunakan alat ujian keselamatan analisis statik (SAST) berbantu AI khusus termasuk ZeroPath , Corgea , dan Almanax . Alat-alat ini bukan sekadar menjana kelemahan berpotensi - mereka menggunakan AI untuk menapis dan mengutamakan penemuan daripada penganalisis statik tradisional, mengurangkan positif palsu dengan ketara.
Sambutan komuniti sangat positif, dengan ramai pembangun menyatakan ini mewakili kes penggunaan ideal untuk AI dalam pengaturcaraan. Daripada meminta AI menulis kod yang mesti disemak oleh manusia, alat-alat tersebut membantu mengenal pasti kawasan yang mencurigakan yang memerlukan pemeriksaan manusia yang lebih teliti.
Alat AI yang Digunakan oleh Joshua Rogers:
- ZeroPath (berasaskan langganan, pelan biasa $200 USD)
- Corgea (penapisan SAST berkuasa AI)
- Almanax (platform analisis keselamatan)
- Persediaan analisis statik berbantu AI tersuai
Melangkaui Analisis Statik Tradisional
Apa yang menjadikan penemuan Rogers sangat mengagumkan ialah cURL telah pun dianalisis oleh tiga penganalisis kod yang berbeza dan cekap, yang kesemuanya melaporkan tiada isu ditemui. Alat berbantu AI berjaya mendedahkan masalah yang terlepas daripada analisis statik konvensional, termasuk kelemahan keselamatan berpotensi bersama bug yang lebih kecil.
Ini adalah tepat apa yang saya mahukan daripada 'rakan pengaturcaraan AI'. Jangan tulis atau betulkan kod untuk saya, tetapi sebaliknya beritahu saya tempat mana dalam kod yang kelihatan mencurigakan dan di mana saya perlu melihat dengan lebih teliti.
Bug tersebut terdiri daripada isu pengkodan kecil hingga masalah yang lebih serius, dengan beberapa pembetulan menangani penentu format printf yang salah dan ralat halus lain yang boleh mempunyai implikasi keselamatan. Stenberg telah pun menggabungkan 22 pembetulan bug berdasarkan laporan Rogers dan terus menangani isu-isu yang tinggal.
Keputusan Penemuan Bug:
- 22+ bug yang disahkan telah diperbaiki dalam cURL
- Isu tambahan masih dalam semakan (dianggarkan 40+ penemuan keseluruhan)
- Campuran bug kecil dan kelemahan keselamatan yang berpotensi
- Ditemui selepas 3 penganalisis kod tradisional melaporkan "tiada isu"
Pendekatan Profesional Kepada Penyelidikan Keselamatan Berbantu AI
Perbezaan utama antara kerja Rogers dan laporan bermasalah yang dijana AI yang biasanya diterima oleh penyelenggara terletak pada metodologi. Rogers menggunakan alat analisis keselamatan yang dibina khas, menyemak dengan teliti setiap penemuan, dan mengesahkan kelemahan sebelum melaporkannya. Pendekatan profesional ini sangat berbeza dengan penyelidik amatur yang menyerahkan output AI mentah tanpa pemahaman atau pengesahan.
Kejayaan ini telah mencetuskan perbincangan yang lebih luas tentang masa depan AI dalam keselamatan perisian. Ramai dalam komuniti melihat ini sebagai pengesahan bahawa alat AI, apabila digunakan dengan betul oleh profesional yang berpengetahuan, boleh meningkatkan kaedah analisis keselamatan tradisional dengan ketara. Walau bagaimanapun, penekanan kekal pada kepakaran manusia - AI berfungsi sebagai pembantu canggih dan bukannya pengganti untuk penyelidik keselamatan mahir.
Perkembangan ini menawarkan harapan untuk komuniti sumber terbuka, menunjukkan bahawa AI boleh menjadi sekutu berharga dalam mengekalkan keselamatan perisian apabila digunakan secara bertanggungjawab dan profesional.
Rujukan: Joshua Rogers sent us a massive list of potential issues in #curl