Các nhà duy trì mã nguồn mở đang đối mặt với một thách thức mới: làn sóng báo cáo lỗ hổng bảo mật do AI tạo ra khiến lãng phí thời gian và tài nguyên quý báu. Dự án curl, được duy trì bởi Daniel Stenberg, gần đây đã nhận được một báo cáo chi tiết nhưng hoàn toàn bịa đặt, tuyên bố về một lỗ hổng tràn bộ đệm ngăn xếp nghiêm trọng có thể dẫn đến thực thi mã từ xa.
Sự trỗi dậy của kịch bản bảo mật do AI tạo ra
Báo cáo lỗ hổng giả mạo này có vẻ được viết một cách chuyên nghiệp, đầy đủ với thuật ngữ kỹ thuật, điểm CVSS và mã chứng minh khái niệm. Tuy nhiên, toàn bộ báo cáo chỉ là hư cấu do AI tạo ra. Lỗ hổng được cho là tồn tại thực chất không có thật, và mã được cung cấp thậm chí không tương tác với chức năng phân tích cookie thực tế của curl. Các thành viên cộng đồng nhanh chóng nhận diện được những dấu hiệu đặc trưng của việc tạo ra bằng AI, bao gồm ngôn ngữ quá trang trọng, sử dụng emoji quá mức và ngữ pháp hoàn hảo một cách không tự nhiên.
Điều khiến xu hướng này đặc biệt đáng lo ngại là khối lượng khổng lồ của những báo cáo này. Các nhà duy trì phải dành thời gian đáng kể để xem xét từng báo cáo, vì những lỗ hổng bảo mật thực sự đòi hỏi sự chú ý ngay lập tức. Các báo cáo giả mạo tạo ra tình huống như câu chuyện cậu bé chăn cừu có thể che giấu những vấn đề bảo mật thực sự.
Đặc điểm phổ biến của báo cáo do AI tạo ra:
- Ngôn ngữ quá trang trọng và hoàn hảo
- Sử dụng quá nhiều emoji và thuật ngữ kỹ thuật
- Ngữ pháp hoàn hảo nhưng cảm giác không tự nhiên
- Code không thể hiện được các lỗ hổng được tuyên bố
- Mô tả kỹ thuật chi tiết nhưng thiếu nội dung thực chất
Phản ứng của cộng đồng và phương pháp phát hiện
Các nhà phát triển ngày càng thành thạo trong việc phát hiện nội dung do AI tạo ra. Cuộc thảo luận trong cộng đồng đã tiết lộ một số dấu hiệu cảnh báo giúp nhận diện những báo cáo giả mạo này. Bao gồm văn phong được trau chuốt một cách không tự nhiên, chi tiết kỹ thuật quá mức nhưng thiếu bản chất, và mã không thực sự chứng minh được lỗ hổng được tuyên bố.
Theo thời gian, tôi đã có cảm nhận về loại nội dung nào được tạo ra bởi AI, và văn bản này hét lên rằng đó là AI từ đầu đến cuối.
Vấn đề không chỉ dừng lại ở các báo cáo bảo mật. Các nhà phát triển báo cáo thấy những vấn đề tương tự với việc xem xét mã, khi những nhân viên mới nộp mã do AI tạo ra có vẻ phức tạp nhưng không thể hoàn thành mục đích dự định. Điều này tạo ra gánh nặng xem xét bổ sung và làm chậm quá trình phát triển.
Tác động đến các dự án mã nguồn mở:
- Tăng thời gian xem xét cho các nhà duy trì dự án
- Cạn kiệt tài nguyên do các báo cáo lỗ hổng bảo mật sai
- Có thể che lấp các vấn đề bảo mật thực sự
- Gánh nặng bổ sung cho các dự án vốn đã dựa vào tình nguyện viên
- Cần có các cơ chế lọc mới
Tác động rộng hơn đối với mã nguồn mở
Hiện tượng này đại diện cho một xu hướng đáng lo ngại khi các cá nhân sử dụng công cụ AI mà không hiểu về công nghệ cơ bản mà họ đang báo cáo. Động cơ dường như là xây dựng hồ sơ cá nhân hoặc cố gắng giành được sự công nhận như các nhà nghiên cứu bảo mật, thay vì những nỗ lực chân thành để cải thiện bảo mật phần mềm.
Sự mỉa mai là rõ ràng: trong khi những người ủng hộ AI tuyên bố rằng những công cụ này tiết kiệm thời gian và tăng năng suất, thực tế thường là lãng phí thời gian của mọi người khác. Các nhà duy trì giờ đây phải phát triển chiến lược để lọc bỏ tiếng ồn do AI tạo ra trong khi đảm bảo họ không bỏ lỡ những mối quan tâm bảo mật hợp pháp.
Tình huống này làm nổi bật một vấn đề cơ bản với cách tiếp cận áp dụng AI hiện tại. Thay vì sử dụng những công cụ này để nâng cao hiểu biết và khả năng, một số người dùng coi chúng như những lối tắt đến chuyên môn mà họ không sở hữu. Điều này tạo ra một động lực nguy hiểm khi vẻ ngoài của kiến thức che giấu sự thiếu hiểu biết thực sự, có thể đặt các dự án cơ sở hạ tầng quan trọng vào tình trạng rủi ro thông qua việc cạn kiệt tài nguyên và làm xao lãng khỏi các vấn đề thực sự.
Tham khảo: Stack Buffer Overflow in CURL's Cookie Parsing Leads to RCE