โปรเจกต์ curl ยอดนิยมได้ออกนโยบายแบนทันทีสำหรับนักวิจัยด้านความปลอดภัยที่ส่งรายงานช่องโหว่ที่สร้างด้วย AI หลังจากถูกท่วมท้นด้วยรายงานความปลอดภัยคุณภาพต่ำและปลอมแปลงที่ทำให้ผู้ดูแลโครงการล้นมือและใช้ทรัพยากรการพัฒนาอันมีค่าไปอย่างสิ้นเปลือง
รายงานความปลอดภัยที่สร้างโดย AI ที่ได้รับการบันทึกโดย curl :
- รายงานทั้งหมด: 17 กรณี
- ประเภทรายงาน: Buffer overflows, ช่องโหว่ format string, การรั่วไหลของหน่วยความจำ, ปัญหาการเข้ารหัส
- แพลตฟอร์ม: โปรแกรม bug bounty ของ HackerOne
- การตอบสนองต่อนโยบาย: แบนทันทีสำหรับการส่งรายงานที่สร้างโดย AI
ขนาดของสแปมรายงานที่สร้างด้วย AI
ทีม curl ได้บันทึกกรณีเฉพาะ 17 กรณีของรายงานความปลอดภัยที่สร้างด้วย AI ที่ส่งผ่านโปรแกรม bug bounty HackerOne ของพวกเขา รายงานเหล่านี้มีตั้งแต่ช่องโหว่ buffer overflow ที่อ้างว่าพบไปจนถึงปัญหาอัลกอริทึมการเข้ารหัส แต่ทั้งหมดมีลักษณะร่วมกัน คือถูกสร้างขึ้นโดยเครื่องมือปัญญาประดิษฐ์โดยไม่มีความเข้าใจจริงในโค้ดเบสหรือการวิจัยด้านความปลอดภัยที่แท้จริง
สมาชิกชุมชนสังเกตว่ารายงานเหล่านี้หลายรายงานมีรูปแบบที่คาดเดาได้ การส่งรายงานมักจะอ้างอย่างคลุมเครือเกี่ยวกับประเภทช่องโหว่ที่รู้จักกันดี เช่น buffer overflow ในฟังก์ชันอย่าง strcpy() แต่ไม่สามารถให้หมายเลขบรรทัดที่เฉพาะเจาะจง โค้ด proof-of-concept หรือหลักฐานที่เป็นรูปธรรมของข้อบกพร่องด้านความปลอดภัยจริง ๆ
ลักษณะทั่วไปของรายงานที่สร้างโดย AI:
- การอ้างว้าพบช่องโหว่โดยไม่มีหลักฐานเฉพาะเจาะจง
- ไม่สามารถระบุหมายเลขบรรทัดหรือโค้ดสาธิตการโจมตี
- คำอธิบายทั่วไปของประเภทช่องโหว่ที่เป็นที่รู้จักกันดี
- การตอบกลับแบบวนเวียนเมื่อถูกซักถามโดยผู้ดูแลระบบ
- การคัดลอกและวางคำถามติดตามกลับเข้าไปในเครื่องมือ AI
การสูญเสียทรัพยากรของผู้ดูแลโอเพนซอร์ส
ผลกระทบต่อผู้ดูแล curl มีนัยสำคัญ รายงานความปลอดภัยแต่ละรายงานต้องการการตรวจสอบและการตอบสนองอย่างระมัดระวัง ไม่ว่าคุณภาพจะเป็นอย่างไร เพราะช่องโหว่ด้านความปลอดภัยที่ถูกต้องต้องได้รับการพิจารณาอย่างจริงจัง สิ่งนี้สร้างภาระที่ไม่สมมาตรที่ AI สามารถสร้างรายงานหลายสิบฉบับในไม่กี่นาที แต่ผู้เชี่ยวชาญมนุษย์ต้องใช้เวลาหลายชั่วโมงหรือหลายวันในการตรวจสอบและหักล้างข้อกล่าวหาเท็จแต่ละข้ออย่างเหมาะสม
ผู้สังเกตการณ์ชุมชนคนหนึ่งเน้นปัญหาหลัก รายงานเหล่านี้ทำงานคล้ายกับการโจมตี distributed denial-of-service ต่อความสามารถในการตอบสนองด้านความปลอดภัยของโปรเจกต์ เมื่อผู้ดูแลใช้เวลาตรวจสอบช่องโหว่ที่ปลอมแปลง พวกเขาจะมีความสามารถน้อยลงในการจัดการกับปัญหาความปลอดภัยจริงและงานพัฒนาที่ถูกต้อง
คุณภาพที่เสื่อมโทรมของโปรแกรม Bug Bounty
สถานการณ์นี้สะท้อนถึงความท้าทายที่กว้างขึ้นที่โปรแกรม bug bounty ทั่วอุตสาหกรรมเทคโนโลยีกำลังเผชิญ สิ่งที่เคยเป็นวิธีที่มีค่าสำหรับนักวิจัยด้านความปลอดภัยในการมีส่วนร่วมต่อความปลอดภัยของซอฟต์แวร์กำลังถูกทำลายโดยบุคคลที่ใช้เครื่องมือ AI เพื่อสร้างรายงานช่องโหว่ที่ฟังดูน่าเชื่อแต่ไร้ค่าในท้ายที่สุด
รายงานนี้และรายงานอื่น ๆ ของคุณดูเหมือนการโจมตีทรัพยากรของเราในการจัดการปัญหาความปลอดภัย
ความหงุดหงิดของทีม curl เห็นได้ชัดในการสื่อสารของพวกเขากับผู้ส่งรายงาน รายงานที่สร้างด้วย AI หลายรายงานกลายเป็นปัญหามากขึ้นเมื่อผู้ดูแลถามคำถามติดตาม เนื่องจากผู้ส่งรายงานมักจะคัดลอกและวางคำถามกลับเข้าไปในเครื่องมือ AI ของพวกเขา สร้างการสนทนาแบบวนเวียนที่เสียเวลามากยิ่งขึ้น
จุดจบของการสันนิษฐานด้วยเจตนาดี
การตัดสินใจของโปรเจกต์ curl ในการออกนโยบายแบนทันทีแสดงถึงการเปลี่ยนแปลงจากการสันนิษฐานเจตนาดีในรายงานความปลอดภัย ก่อนหน้านี้ ผู้ดูแลจะทำงานอย่างอดทนกับนักวิจัยที่อาจมีปัญหาในการอธิบายปัญหาทางเทคนิคอย่างชัดเจน อย่างไรก็ตาม ปริมาณและลักษณะที่ชัดเจนของสแปมที่สร้างด้วย AI ได้บังคับให้พวกเขาใช้วิธีการกรองที่เข้มงวดมากขึ้น
การเปลี่ยนแปลงนี้อาจส่งผลกระทบต่อนักวิจัยที่ถูกต้องซึ่งขาดทักษะการเขียนทางเทคนิคที่แข็งแกร่งแต่ได้ค้นพบช่องโหว่จริง ขณะนี้ชุมชนกำลังหารือเกี่ยวกับแนวทางแก้ไขที่เป็นไปได้ รวมถึงการกำหนดให้มีรายละเอียดทางเทคนิคที่เฉพาะเจาะจง เช่น หมายเลขบรรทัดหรืออินพุต proof-of-concept ก่อนที่รายงานจะได้รับการยอมรับเพื่อการตรวจสอบ
ประสบการณ์ของทีม curl ทำหน้าที่เป็นคำเตือนสำหรับโปรเจกต์โอเพนซอร์สอื่น ๆ เกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่ของสแปมรายงานความปลอดภัยที่สร้างด้วย AI และความจำเป็นในการมีนโยบายใหม่เพื่อปกป้องทรัพยากรของผู้ดูแลในขณะที่รักษาช่องทางการวิจัยด้านความปลอดภัยที่ถูกต้อง
อ้างอิง: Slop