Dự án curl nổi tiếng đã triển khai chính sách cấm ngay lập tức đối với các nhà nghiên cứu bảo mật gửi báo cáo lỗ hổng do AI tạo ra, sau khi hàng loạt báo cáo bảo mật chất lượng thấp và bịa đặt đã làm quá tải các nhà bảo trì và tiêu tốn tài nguyên phát triển quý giá.
Báo cáo bảo mật do AI tạo ra được ghi nhận bởi curl:
- Tổng số báo cáo: 17 trường hợp
- Loại báo cáo: Tràn bộ đệm, lỗ hổng chuỗi định dạng, rò rỉ bộ nhớ, vấn đề mã hóa
- Nền tảng: Chương trình bug bounty HackerOne
- Chính sách phản hồi: Cấm ngay lập tức đối với các báo cáo do AI tạo ra
Quy mô của thư rác báo cáo do AI tạo ra
Nhóm curl đã ghi nhận 17 trường hợp cụ thể về báo cáo bảo mật do AI tạo ra được gửi qua chương trình bug bounty HackerOne của họ. Những báo cáo này bao gồm từ các lỗ hổng buffer overflow bị cáo buộc đến các vấn đề thuật toán mã hóa, nhưng tất cả đều có chung một đặc điểm: chúng được bịa đặt bởi các công cụ trí tuệ nhân tạo mà không có bất kỳ hiểu biết thực sự nào về codebase hoặc nghiên cứu bảo mật chính thống.
Các thành viên cộng đồng đã lưu ý rằng nhiều báo cáo này tuân theo các mẫu có thể dự đoán được. Các bài nộp thường đưa ra những tuyên bố mơ hồ về các loại lỗ hổng nổi tiếng như buffer overflow trong các hàm như strcpy(), nhưng lại không cung cấp số dòng cụ thể, mã proof-of-concept, hoặc bất kỳ bằng chứng cụ thể nào về các lỗ hổng bảo mật thực tế.
Các Đặc Điểm Phổ Biến của Báo Cáo Do AI Tạo Ra:
- Các tuyên bố lỗ hổng bảo mật mơ hồ không có bằng chứng cụ thể
- Không cung cấp số dòng hoặc mã proof-of-concept
- Mô tả chung chung về các loại lỗ hổng bảo mật đã được biết đến
- Phản hồi lặp đi lặp lại khi bị người bảo trì chất vấn
- Copy-paste các câu hỏi tiếp theo vào các công cụ AI
Cạn kiệt tài nguyên của các nhà bảo trì mã nguồn mở
Tác động đến các nhà bảo trì curl đã rất đáng kể. Mỗi báo cáo bảo mật đều yêu cầu điều tra và phản hồi cẩn thận, bất kể chất lượng của nó như thế nào, bởi vì các lỗ hổng bảo mật hợp pháp phải được xem xét nghiêm túc. Điều này tạo ra gánh nặng bất đối xứng khi AI có thể tạo ra hàng chục báo cáo trong vài phút, nhưng các chuyên gia con người cần hàng giờ hoặc hàng ngày để điều tra và bác bỏ từng tuyên bố sai lệch một cách đúng đắn.
Một người quan sát cộng đồng đã nêu bật vấn đề cốt lõi: những báo cáo này hoạt động tương tự như một cuộc tấn công từ chối dịch vụ phân tán vào khả năng phản ứng bảo mật của dự án. Khi các nhà bảo trì dành thời gian điều tra các lỗ hổng bịa đặt, họ sẽ có ít khả năng hơn để giải quyết các vấn đề bảo mật thực sự và công việc phát triển hợp pháp.
Chất lượng suy giảm của các chương trình Bug Bounty
Tình hình này phản ánh một thách thức rộng lớn hơn mà các chương trình bug bounty trên toàn ngành công nghệ đang phải đối mặt. Những gì từng là cách có giá trị để các nhà nghiên cứu bảo mật đóng góp vào an toàn phần mềm đang bị làm suy yếu bởi các cá nhân sử dụng công cụ AI để tạo ra các báo cáo lỗ hổng nghe có vẻ hợp lý nhưng cuối cùng lại vô giá trị.
Báo cáo này và báo cáo khác của bạn có vẻ như một cuộc tấn công vào tài nguyên của chúng tôi để xử lý các vấn đề bảo mật.
Sự thất vọng của nhóm curl thể hiện rõ trong giao tiếp của họ với những người gửi báo cáo. Nhiều báo cáo do AI tạo ra trở nên có vấn đề hơn khi các nhà bảo trì đặt câu hỏi tiếp theo, vì những người gửi thường copy-paste các câu hỏi trở lại vào công cụ AI của họ, tạo ra các cuộc trò chuyện vòng tròn lãng phí thêm nhiều thời gian.
Kết thúc của các giả định thiện chí
Quyết định triển khai lệnh cấm ngay lập tức của dự án curl đại diện cho sự chuyển đổi khỏi việc giả định thiện chí trong các báo cáo bảo mật. Trước đây, các nhà bảo trì sẽ kiên nhẫn làm việc với các nhà nghiên cứu có thể gặp khó khăn trong việc diễn đạt các vấn đề kỹ thuật một cách rõ ràng. Tuy nhiên, khối lượng và tính chất rõ ràng của thư rác do AI tạo ra đã buộc họ phải áp dụng cách tiếp cận lọc tích cực hơn.
Thay đổi này có thể không may ảnh hưởng đến các nhà nghiên cứu hợp pháp thiếu kỹ năng viết kỹ thuật mạnh nhưng đã phát hiện ra các lỗ hổng thực sự. Cộng đồng hiện đang thảo luận về các giải pháp tiềm năng, bao gồm yêu cầu các chi tiết kỹ thuật cụ thể như số dòng hoặc đầu vào proof-of-concept trước khi các báo cáo được chấp nhận để xem xét.
Kinh nghiệm của nhóm curl đóng vai trò như một cảnh báo cho các dự án mã nguồn mở khác về mối đe dọa mới nổi của thư rác báo cáo bảo mật do AI tạo ra và nhu cầu về các chính sách mới để bảo vệ tài nguyên của nhà bảo trì trong khi vẫn duy trì các kênh nghiên cứu bảo mật hợp pháp.
Tham khảo: Slop