ผู้ดูแลโปรเจกต์โอเพนซอร์สกำลังเผชิญกับความท้าทายใหม่ คือการเพิ่มขึ้นของรายงานช่องโหว่ด้านความปลอดภัยที่สร้างด้วย AI ซึ่งเป็นการสิ้นเปลืองเวลาและทรัพยากรอันมีค่า โปรเจกต์ curl ที่ดูแลโดย Daniel Stenberg เพิ่งได้รับรายงานที่มีรายละเอียดแต่แต่งขึ้นทั้งหมด โดยอ้างว่าพบช่องโหว่ stack buffer overflow ร้ายแรงที่อาจนำไปสู่การดำเนินโค้ดจากระยะไกล
การเพิ่มขึ้นของการแสดงละครความปลอดภัยด้วย AI
รายงานช่องโหว่ปลอมดูเป็นมืออาชีพ มีศัพท์เทคนิค คะแนน CVSS และโค้ดสำหรับพิสูจน์แนวคิด อย่างไรก็ตาม รายงานทั้งหมดเป็นนิยายที่สร้างด้วย AI ช่องโหว่ที่อ้างนั้นไม่มีอยู่จริง และโค้ดที่ให้มาไม่ได้ทำงานร่วมกับฟังก์ชันการแยกวิเคราะห์คุกกี้ของ curl จริงๆ สมาชิกชุมชนสามารถระบุสัญญาณบ่งชี้ของการสร้างด้วย AI ได้อย่างรวดเร็ว รวมถึงภาษาที่เป็นทางการเกินไป การใช้อีโมจิมากเกินไป และไวยากรณ์ที่สมบูรณ์แบบจนรู้สึกไม่เป็นธรรมชาติ
สิ่งที่ทำให้แนวโน้มนี้น่ากังวลเป็นพิเศษคือปริมาณของรายงานเหล่านี้ ผู้ดูแลต้องใช้เวลามากในการตรวจสอบแต่ละรายงาน เนื่องจากช่องโหว่ด้านความปลอดภัยที่แท้จริงต้องการความสนใจทันที รายงานปลอมสร้างสถานการณ์เหมือนนิทานเด็กชายที่ตะโกนหมาป่า ซึ่งอาจปิดบังปัญหาความปลอดภัยที่แท้จริงได้
ลักษณะเฉพาะของรายงานที่สร้างโดย AI ทั่วไป:
- ใช้ภาษาที่เป็นทางการและขัดเกลาเกินไป
- ใช้อีโมจิและศัพท์เทคนิคมากเกินไป
- ไวยากรณ์ที่สมบูรณ์แบบจนรู้สึกไม่เป็นธรรมชาติ
- โค้ดที่ไม่ได้แสดงให้เห็นช่องโหว่ตามที่อ้างว่ามี
- คำอธิบายทางเทคนิคที่ละเอียดแต่ไม่มีเนื้อหาสาระ
การตอบสนองของชุมชนและวิธีการตรวจจับ
นักพัฒนามีทักษะในการจับสังเนื่อหาเนื้อหาที่สร้างด้วย AI มากขึ้น การอภิปรายของชุมชนเผยให้เห็นสัญญาณเตือนหลายประการที่ช่วยระบุรายงานปลอมเหล่านี้ ซึ่งรวมถึงการเขียนที่ขัดเกลาจนไม่เป็นธรรมชาติ รายละเอียดทางเทคนิคมากเกินไปแต่ไม่มีเนื้อหาสาระ และโค้ดที่ไม่ได้แสดงให้เห็นช่องโหว่ที่อ้างจริงๆ
เมื่อเวลาผ่านไป ฉันได้รู้สึกถึงเนื้อหาประเภทใดที่สร้างด้วย AI และข้อความนี้ตะโกน 'AI' จากบนลงล่าง
ปัญหานี้ขยายไปเกินกว่ารายงานความปลอดภัย นักพัฒนารายงานว่าเห็นปัญหาคล้ายกันกับการตรวจสอบโค้ด ที่พนักงานใหม่ส่งโค้ดที่สร้างด้วย AI ซึ่งดูซับซ้อนแต่ไม่สามารถทำตามวัตถุประสงค์ที่ตั้งใจไว้ สิ่งนี้สร้างภาระการตรวจสอบเพิ่มเติมและทำให้กระบวนการพัฒนาช้าลง
ผลกระทบต่อโครงการ Open Source:
- เวลาในการตรวจสอบที่เพิ่มขึ้นสำหรับผู้ดูแลระบบ
- การสูญเสียทรัพยากรจากรายงานช่องโหว่ที่เป็นเท็จ
- อาจบดบังปัญหาความปลอดภัยที่แท้จริง
- ภาระเพิ่มเติมต่อโครงการที่ดำเนินการโดยอาสาสมัครอยู่แล้ว
- ความจำเป็นในการสร้างกลไกการกรองข้อมูลใหม่
ผลกระทบที่กว้างขึ้นต่อโอเพนซอร์ส
ปรากฏการณ์นี้แสดงถึงแนวโน้มที่น่ากังวล ที่บุคคลใช้เครื่องมือ AI โดยไม่เข้าใจเทคโนโลยีพื้นฐานที่พวกเขากำลังรายงาน แรงจูงใจดูเหมือนจะเป็นการสร้างประวัติหรือพยายามได้รับการยอมรับในฐานะนักวิจัยความปลอดภัย มากกว่าความพยายามที่แท้จริงในการปรับปรุงความปลอดภัยของซอฟต์แวร์
ความขัดแย้งนั้นชัดเจน ในขณะที่ผู้สนับสนุน AI อ้างว่าเครื่องมือเหล่านี้ประหยัดเวลาและเพิ่มประสิทธิภาพ ความเป็นจริงมักเกี่ยวข้องกับการสิ้นเปลืองเวลาของคนอื่น ผู้ดูแลต้องพัฒนากลยุทธ์เพื่อกรองเสียงรบกวนที่สร้างด้วย AI ในขณะที่ต้องแน่ใจว่าพวกเขาไม่พลาดข้อกังวลด้านความปลอดภัยที่ถูกต้อง
สถานการณ์นี้เน้นย้ำถึงปัญหาพื้นฐานของแนวทางการนำ AI มาใช้ในปัจจุบัน แทนที่จะใช้เครื่องมือเหล่านี้เพื่อเพิ่มความเข้าใจและความสามารถ ผู้ใช้บางคนใช้มันเป็นทางลัดสู่ความเชี่ยวชาญที่พวกเขาไม่มี สิ่งนี้สร้างพลวัตที่อันตราย ที่ลักษณะของความรู้ปิดบังความไม่รู้ที่แท้จริง ซึ่งอาจทำให้โปรเจกต์โครงสร้างพื้นฐานที่สำคัญเสี่ยงต่ออันตรายจากการสูญเสียทรัพยากรและการเบี่ยงเบนความสนใจจากปัญหาจริง
อ้างอิง: Stack Buffer Overflow in CURL's Cookie Parsing Leads to RCE