L'IA utilisée pour détecter les problèmes de sécurité
Il ya quelques jours, Daniel Stenberg (l'auteur de Curl) dévoilé sur ton blog, une publication dans lequel il s'exprime non seulement comme un critique l'utilisation d'outils d'intelligence artificielle, mais sous forme de plainte, les désagréments que cela génère pour lui et son équipe, les rapports de sécurité générés par les outils d'intelligence artificielle.
Et dans sa publication, Daniel Stenberg mentionne que pendant de nombreuses années, le processus de vérification de tous les rapports et d'élimination entre les « cochonneries » et les « vrais » problèmes de sécurité, Ce n’était pas quelque chose qui nécessitait un effort supplémentaire., car il mentionne que « les rapports indésirables sont également généralement très faciles et rapides à détecter et à éliminer ».
Avec l’essor récent de l’intelligence artificielle, de nombreuses tâches qui nécessitaient auparavant de nombreuses heures d’intervention humaine ont été révolutionnées. Parmi les cas les plus évoqués dans ce blog, nous avons abordé les sujets des IA dédiées à la programmation, à la génération d'images et au montage vidéo, comme ChatGPT, Copilot, Bard, entre autres.
Dans le domaine spécifique de la programmation, Copilot a suscité de nombreuses critiques, la principale préoccupation étant la possibilité de faire face à des poursuites judiciaires. Cependant, à l’autre extrémité de l’échelle, l’intervention de l’intelligence artificielle a considérablement transformé divers domaines. Par exemple, dans la détection des erreurs et des problèmes de sécurité dans le code, les IA ont joué un rôle crucial. De nombreuses personnes ont adopté ces outils pour identifier les bugs et vulnérabilités potentiels du code, participant souvent à des programmes de primes pour détecter les problèmes de sécurité.
Curl n'a pas échappé à cette tendance et Daniel Stenberg a exprimé sur son blog, Après avoir retenu son opinion pendant plusieurs mois, il a finalement explosé Je ne suis pas d’accord avec l’utilisation d’outils d’intelligence artificielle. La raison de votre frustration était nombre croissant de rapports « indésirables » générés par l’utilisation de ces outils.
Dans la publication, il est souligné que Ces rapports ont une apparence détaillée, sont rédigés dans un langage normal et semblent de grande qualité. Cependant, sans une analyse minutieuse, ils s’avèrent trompeurs. puisqu'ils remplacent les problèmes réels par un contenu de mauvaise qualité qui semble précieux.
Le projet Curl, qui offre des récompenses pour l'identification de nouvelles vulnérabilités, a reçu un total de 415 rapports faisant état de problèmes potentiels. De cet ensemble, seules 64 ont été confirmées comme de réelles vulnérabilités, 77 ont décrit des erreurs non liées à la sécurité et, étonnamment, 274 (66%) ne contenaient pas d'informations utiles, manger du temps aux développeurs qui aurait pu être consacré à quelque chose d'utile.
Les développeurs sont obligés de perdre beaucoup de temps à analyser des rapports inutiles et à vérifier à plusieurs reprises les informations qu'ils contiennent, car la qualité externe de la conception crée une confiance supplémentaire dans les informations et on a le sentiment que le développeur n'a pas compris quelque chose.
En revanche, générer un tel rapport nécessite un effort minimal de la part du demandeur, qui ne prend pas la peine de vérifier s'il y a un réel problème, mais copie simplement aveuglément les données reçues des assistants IA, dans l'espoir d'avoir de la chance. dans la lutte pour recevoir une récompense.
Daniel Stenberg, Partagez deux exemples de ce type de rapport sur les déchets :
- Dans le premier cas, juste avant la publication prévue d'informations sur une vulnérabilité critique en octobre, un rapport a été reçu via HackerOne indiquant qu'un correctif public existait déjà pour résoudre le problème. Cependant, le rapport s'est avéré « faux », car il contenait des données sur des problèmes similaires et des extraits d'informations détaillées sur des vulnérabilités passées, compilées par l'assistant d'intelligence artificielle de Google, Bard. Même si l’information semblait nouvelle et pertinente, elle manquait de lien avec la réalité.
- Dans le deuxième cas, un rapport a été reçu concernant un débordement de tampon dans la gestion de WebSocket. Ce rapport provenait d'un utilisateur qui avait déjà signalé des vulnérabilités sur plusieurs projets via HackerOne. Pour reproduire le problème, le rapport fournissait des instructions générales sur la façon de soumettre une demande modifiée et un exemple de correctif.
Malgré une triple vérification minutieuse du code, le développeur n’a trouvé aucun problème. Cependant, comme le rapport était rédigé de manière à susciter « une certaine » confiance et présentait même une proposition de solution, le sentiment que quelque chose n’allait pas persistait.
Dans le but de clarifier comment l'utilisateur a réussi à contourner le contrôle de taille, il est mentionné que les explications ne contenaient aucune information supplémentaire et traitaient uniquement des causes courantes évidentes de débordements de tampon sans rapport avec le code Curl. Les réponses faisaient penser à une communication avec un assistant IA, et après de vaines tentatives pour comprendre exactement comment le problème se manifestait, Daniel Stenberg a finalement été convaincu qu'aucune vulnérabilité n'existait réellement et a clos le sujet comme étant non « applicable ».
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans la lien suivant