Thư viện Kiểm thử Bảo mật AI Bị Phát hiện là Dự án "Vibe Coded" với Những Tuyên bố Bịa đặt

Một thư viện TypeScript hứa hẹn khả năng kiểm thử bảo mật AI toàn diện đã bị phát hiện phần lớn là nội dung được tạo bởi AI với những tuyên bố sai lệch về chức năng và cơ sở nghiên cứu của nó. Thư viện prompt-injector , quảng cáo có hơn 25 mẫu tấn công prompt injection được tuyển chọn từ các nghiên cứu bảo mật hàng đầu, đã bị xem xét kỹ lưỡng khi người dùng phát hiện ra những khác biệt đáng kể giữa các tuyên bố tiếp thị và việc triển khai thực tế.

Thiếu Chức năng Cốt lõi và Tài liệu Hướng dẫn

Các thành viên cộng đồng nhanh chóng xác định được những vấn đề cơ bản về tính hợp pháp của dự án. Package NPM được hứa hẹn hóa ra lại là thứ hoàn toàn khác, và người dùng không tìm thấy hướng dẫn thực tế nào để triển khai. Repository chủ yếu chứa code website thay vì chính thư viện kiểm thử bảo mật. Ngay cả các ví dụ sử dụng cơ bản trong tài liệu cũng tham chiếu đến các hàm không tồn tại và phương pháp tích hợp không rõ ràng.

Sự ngắt kết nối giữa các tính năng được quảng cáo và thực tế trở nên rõ ràng khi người dùng cố gắng tìm code thư viện thực tế, chỉ tìm thấy giao diện web mà không có khả năng kiểm thử bảo mật cơ bản.

Tính năng được tuyên bố so với thực tế

Nội dung Được Tạo bởi AI Không có Giám sát của Con người

Độ tin cậy của dự án bị ảnh hưởng nghiêm trọng khi được tiết lộ rằng nội dung tiếp thị, tài liệu và các tuyên bố về tính năng đều được tạo bởi AI mà không có sự xem xét hoặc xác minh thích hợp từ con người. Website tuyên bố tích hợp với nhiều tổ chức bảo mật khác nhau và trích dẫn các nguồn nghiên cứu mà thực tế không bao giờ được liên kết hoặc xác minh.

Xin lỗi vì sự thẳng thắn, nhưng có ít loại bài đăng trên HN nào khiến tôi khó chịu bằng những thứ bóng bẩy rỗng tuếch này. Lời khuyên của tôi: đừng sử dụng AI để ngụ ý công khai những khả năng hoặc kiến thức mà bạn không có; điều đó sẽ không bao giờ có lợi cho bạn.

Người tạo ra cuối cùng đã thừa nhận rằng dự án được vibe coded và thừa nhận thiếu chuyên môn về bảo mật, giải thích rằng họ chỉ đơn giản nhắc Claude AI nghiên cứu các bài báo về prompt injection mà không xem xét đầu ra để đảm bảo tính chính xác.

Phản ứng Cộng đồng và Trách nhiệm của Nhà phát triển

Việc tiết lộ này đã khơi mào các cuộc thảo luận rộng hơn về nguy hiểm của việc xuất bản nội dung được tạo bởi AI mà không có sự giám sát của con người, đặc biệt trong các lĩnh vực liên quan đến bảo mật nơi tính chính xác là rất quan trọng. Các thành viên cộng đồng bày tỏ sự thất vọng với cách trình bày bóng bẩy che giấu sự thiếu thực chất, nhấn mạnh cách những dự án như vậy lãng phí thời gian của các nhà phát triển và làm xói mòn niềm tin vào các công cụ bảo mật hợp pháp.

Sự cố này làm nổi bật mối quan ngại ngày càng tăng trong cộng đồng công nghệ về các dự án được tạo bởi AI trông có vẻ chuyên nghiệp nhưng thiếu chuyên môn con người và sự xác minh cần thiết cho phần mềm đáng tin cậy, đặc biệt trong các lĩnh vực quan trọng như kiểm thử bảo mật.

Các Loại Tấn Công Được Quảng Cáo

• Jailbreaking: 5 mẫu tấn công dựa trên đóng vai
• Instruction Hijacking: 6 mẫu ghi đè lệnh hệ thống
• Encoding Attacks: 7 mẫu sử dụng kỹ thuật làm rối thông tin
• Logic Traps: 6 mẫu sử dụng các lỗ hổng lý luận phức tạp

Lưu ý: Các danh mục này được tạo ra bởi AI và chưa được xác minh với nghiên cứu bảo mật thực tế

Bài học cho Phát triển Hỗ trợ bởi AI

Trường hợp này đóng vai trò như một câu chuyện cảnh báo cho các nhà phát triển sử dụng hỗ trợ AI trong các dự án của họ. Trong khi AI có thể là một công cụ mạnh mẽ để tạo ra ý tưởng và code ban đầu, sự cố này chứng minh tầm quan trọng của chuyên môn con người, xem xét kỹ lưỡng và trình bày trung thực về khả năng của dự án.

Việc người tạo ra cuối cùng thừa nhận và hứa hẹn cải thiện dự án với nghiên cứu và xác minh thích hợp cho thấy con đường phía trước cho phát triển hỗ trợ bởi AI duy trì tính toàn vẹn và cung cấp giá trị thực sự cho người dùng.

Tham khảo: Lightweight AI Security Testing Library