Joshua Rogers đã tạo nên tiếng vang trong cộng đồng mã nguồn mở khi phát hiện ra hơn 22 lỗi đã được xác nhận trong cURL, một trong những thư viện mạng được sử dụng rộng rãi nhất trên thế giới. Điều khiến phát hiện này đặc biệt đáng chú ý là cách Rogers đạt được thành quả này - thông qua sự kết hợp tinh vi của các công cụ phân tích bảo mật hỗ trợ AI thay vì phương pháp xem xét mã nguồn thủ công truyền thống.
Câu chuyện thành công này tương phản hoàn toàn với làn sóng các báo cáo lỗi chất lượng thấp do AI tạo ra đang gây khó khăn cho các nhà duy trì mã nguồn mở. Daniel Stenberg, nhà duy trì chính của cURL, trước đây đã bày tỏ sự thất vọng với các nhà nghiên cứu bảo mật nghiệp dư chỉ đơn giản ném mã nguồn vào ChatGPT và gửi bất kỳ lỗ hổng bảo mật nào mà AI tuyên bố tìm thấy, mà không có sự xác minh thích hợp.
Cách đúng để sử dụng AI cho phân tích bảo mật
Cách tiếp cận của Rogers chứng minh cách AI có thể được tận dụng hiệu quả cho phân tích mã nguồn khi được sử dụng bởi người có chuyên môn phù hợp. Thay vì dựa vào các mô hình ngôn ngữ đa năng, anh đã sử dụng các công cụ kiểm tra bảo mật phân tích tĩnh (SAST) hỗ trợ AI chuyên biệt bao gồm ZeroPath, Corgea và Almanax. Những công cụ này không chỉ tạo ra các lỗ hổng bảo mật tiềm năng - chúng sử dụng AI để lọc và ưu tiên các phát hiện từ các trình phân tích tĩnh truyền thống, giảm đáng kể các kết quả dương tính giả.
Phản ứng của cộng đồng đã rất tích cực, với nhiều nhà phát triển lưu ý rằng điều này đại diện cho trường hợp sử dụng lý tưởng của AI trong lập trình. Thay vì để AI viết mã mà con người phải xem xét, các công cụ giúp xác định các khu vực đáng ngờ cần được con người kiểm tra kỹ hơn.
Các công cụ AI được sử dụng bởi Joshua Rogers:
- ZeroPath (dịch vụ theo đăng ký, gói thường $200 USD)
- Corgea (bộ lọc SAST được hỗ trợ bởi AI)
- Almanax (nền tảng phân tích bảo mật)
- Thiết lập phân tích tĩnh tùy chỉnh có hỗ trợ AI
Vượt xa phân tích tĩnh truyền thống
Điều khiến các phát hiện của Rogers đặc biệt ấn tượng là cURL đã được phân tích bởi ba trình phân tích mã nguồn có năng lực khác nhau, tất cả đều báo cáo không tìm thấy vấn đề gì. Các công cụ hỗ trợ AI đã thành công trong việc khám phá các vấn đề mà phân tích tĩnh thông thường bỏ lỡ, bao gồm các lỗ hổng bảo mật tiềm năng cùng với các lỗi nhỏ hơn.
Đây chính xác là những gì tôi muốn từ một 'trợ lý lập trình AI'. Đừng viết hoặc sửa mã nguồn cho tôi, mà thay vào đó hãy cho tôi biết những nơi nào trong mã nguồn trông đáng ngờ và tôi cần phải xem xét kỹ hơn.
Các lỗi dao động từ những vấn đề mã hóa nhỏ đến các vấn đề nghiêm trọng hơn, với một số bản sửa lỗi giải quyết các định dạng printf không chính xác và các lỗi tinh vi khác có thể có ý nghĩa bảo mật. Stenberg đã hợp nhất 22 bản sửa lỗi dựa trên báo cáo của Rogers và tiếp tục xử lý các vấn đề còn lại.
Kết quả Phát hiện Lỗi:
- Hơn 22 lỗi đã được xác nhận và sửa chữa trong cURL
- Các vấn đề bổ sung vẫn đang được xem xét (ước tính tổng cộng hơn 40 phát hiện)
- Kết hợp giữa các lỗi nhỏ và các lỗ hổng bảo mật tiềm ẩn
- Được phát hiện sau khi 3 công cụ phân tích mã truyền thống báo cáo "không có vấn đề"
Cách tiếp cận chuyên nghiệp đối với nghiên cứu bảo mật hỗ trợ AI
Sự khác biệt chính giữa công việc của Rogers và các báo cáo có vấn đề do AI tạo ra mà các nhà duy trì thường nhận được nằm ở phương pháp luận. Rogers đã sử dụng các công cụ phân tích bảo mật được xây dựng có mục đích, xem xét cẩn thận từng phát hiện, và xác minh các lỗ hổng bảo mật trước khi báo cáo chúng. Cách tiếp cận chuyên nghiệp này tương phản rõ rệt với các nhà nghiên cứu nghiệp dư gửi kết quả AI thô mà không hiểu biết hoặc xác minh.
Thành công này đã khơi dậy các cuộc thảo luận rộng hơn về tương lai của AI trong bảo mật phần mềm. Nhiều người trong cộng đồng coi đây là sự xác nhận rằng các công cụ AI, khi được sử dụng đúng cách bởi các chuyên gia có kiến thức, có thể nâng cao đáng kể các phương pháp phân tích bảo mật truyền thống. Tuy nhiên, trọng tâm vẫn là chuyên môn của con người - AI đóng vai trò là một trợ lý tiên tiến thay vì thay thế cho các nhà nghiên cứu bảo mật có kỹ năng.
Sự phát triển này mang lại hy vọng cho cộng đồng mã nguồn mở, chứng minh rằng AI có thể là một đồng minh có giá trị trong việc duy trì bảo mật phần mềm khi được sử dụng một cách có trách nhiệm và chuyên nghiệp.
Tham khảo: Joshua Rogers sent us a massive list of potential issues in #curl