共计 858 个字符,预计需要花费 3 分钟才能阅读完成。
知名开源项目 curl 的创始人 Daniel Stenberg 近日公开表达了对 AI 生成漏洞报告的不满,称这些报告正在成为开源项目的新威胁。
“ 这些报告总是写得非常漂亮,”Stenberg 告诉 Ars。这位开源软件界的资深人士指出,AI 生成的漏洞报告正在给 curl 项目带来不必要的负担,” 我们实际上正在遭受 DDoS 攻击。如果可以,我们会向他们收取浪费我们时间的费用。”
Curl 作为一款已有 25 年历史的命令行工具,在 2023 年迎来了其重要里程碑。然而,随着 AI 技术的普及,该项目通过 HackerOne 等平台收到的漏洞报告质量正在发生变化。Stenberg 表示,他建议每一个疑似由 AI 生成的 HackerOne 报告都将要求提交者验证他们是否使用了 AI 来发现问题或生成报告。
“ 我们还没有看到任何一份由 AI 帮助生成的有效安全报告,”Stenberg 强调。他特别提到 5 月 4 日的一份报告,该报告提出了一种 ” 利用 HTTP/3 协议栈中的流依赖循环的新漏洞 ”,但经查证,报告中的补丁文件并不适用于相关 Python 工具的最新版本。
HackerOne 的联合创始人 Alex Rice 对此表示,包含 ” 虚构漏洞、模糊或不正确的技术内容,或其他形式的低质量噪音 ” 的报告将被视为垃圾信息。” 我们相信,如果负责任地使用,AI 可以成为研究人员的强大工具,”Rice 说,” 但关键在于确保 AI 增强报告,而不是引入噪音。”
Stenberg 的批评引发了广泛关注,截至周三上午,他的帖子已生成 200 条评论和近 400 次转发。” 我非常高兴这个问题得到了关注,这样我们可能可以做些什么,并教育受众这就是现状,”Stenberg 表示。
开源安全公司 XOR 的 Tobias Heldt 建议,漏洞赏金计划可以 ” 利用现有网络和基础设施 ”,而安全记者支付保证金以审查报告 ” 可能是过滤信号和减少噪音的一种方式 ”。
Python 软件基金会的安全开发者 Seth Larson 也对此表示担忧:” 如果这种情况发生在我能看到的一些项目中,那么我怀疑这种情况正在大规模地发生在开源项目上。这是一个非常令人担忧的趋势。”
