Güvenlik sorunlarını tespit etmek için yapay zeka kullanıldı
Birkaç gün önce, Daniel Stenberg (Curl'un yazarı) bilinir kıldı blogunda, bir gönderi burada sadece bir ifade olarak değil, yapay zeka araçlarının kullanımını eleştiriyorancak şikayet şeklinde, bunun kendisi ve ekibi için yarattığı rahatsızlık, yapay zeka araçları tarafından oluşturulan güvenlik raporları.
Ve yayınında Daniel Stenberg Yıllardır tüm raporların doğrulanması ve imha edilmesi sürecinin devam ettiğini belirtiyor. “Önemsiz” ve “gerçek” güvenlik sorunları arasında, Ekstra çaba gerektiren bir şey değildi., "önemsiz raporların tespit edilmesi ve atılmasının da genellikle çok kolay ve hızlı olduğunu" belirtiyor.
Yapay zekanın son dönemdeki yükselişiyle, daha önce saatlerce insan müdahalesi gerektiren birçok görevde devrim yaratıldı. Bu blogda en çok bahsedilen vakalar arasında, diğerlerinin yanı sıra ChatGPT, Copilot, Bard gibi programlama, görüntü oluşturma ve video düzenlemeye adanmış yapay zeka konularını ele aldık.
Özel programlama alanında, Copilot çok sayıda eleştiriye yol açtı; asıl endişe, yasal davalarla karşı karşıya kalma olasılığıydı. Ancak terazinin diğer ucunda yapay zekanın müdahalesi çeşitli alanları önemli ölçüde dönüştürdü. Örneğin, koddaki hataların ve güvenlik sorunlarının tespitinde yapay zekalar çok önemli bir rol oynadı. Pek çok kişi, koddaki potansiyel hataları ve güvenlik açıklarını belirlemek için bu araçları benimsedi ve genellikle güvenlik sorunlarını tespit etmek için ödül programlarına katıldı.
Curl bu trendden kaçamadı ve Daniel Stenberg şunu ifade etti: onun blogunda, Birkaç ay boyunca fikrini saklamaya çalıştıktan sonra sonunda patladı Yapay zeka araçlarının kullanımına katılmıyorum. Hayal kırıklığınızın ardındaki sebep oldu Bu araçların kullanımıyla üretilen "önemsiz" raporların sayısı artıyor.
Yayında şunun altı çiziliyor: Bu raporlar ayrıntılı bir görünüme sahiptir, normal dilde yazılmış ve yüksek kalitede görünüyor. Ancak dikkatli bir analiz yapılmazsa bunların yanıltıcı olduğu ortaya çıkar. Çünkü gerçek sorunları, değerli görünen düşük kaliteli içerikle değiştiriyorlar.
proje Yeni güvenlik açıklarının belirlenmesi için ödüller sunan Curl, potansiyel sorunlara ilişkin toplam 415 rapor aldı. Bu setten, yalnızca 64 tanesinin gerçek güvenlik açığı olduğu doğrulandı, 77'si güvenlikle ilgili olmayan hataları tanımladı ve şaşırtıcı bir şekilde 274 (%66'sı yararlı bilgi içermiyordu, geliştiricilerin yararlı bir şeye harcanabilecek zamanını tüketmek.
Tasarımın dış kalitesi bilgiye ek güven oluşturduğundan ve geliştiricinin bir şeyi anlamadığı hissi oluştuğundan, geliştiriciler gereksiz raporları analiz etmek ve burada yer alan bilgileri tekrar tekrar kontrol etmek için çok fazla zaman harcamak zorunda kalıyor.
Öte yandan, böyle bir raporun oluşturulması, gerçek bir sorun olup olmadığını kontrol etme zahmetine girmeyen, ancak şanslı olmayı umarak yapay zeka asistanlarından alınan verileri körü körüne kopyalayan talepte bulunan kişi açısından minimum çaba gerektirir. ödül alma mücadelesinde.
Daniel Stenberg, Bu tür çöp raporlamanın iki örneğini paylaşın:
- İlk durumda, Ekim ayında kritik bir güvenlik açığıyla ilgili planlanan bilgilerin yayınlanmasından hemen önce, HackerOne aracılığıyla, sorunu çözmek için genel bir yamanın zaten mevcut olduğunu belirten bir rapor alındı. Ancak raporun, Google'ın yapay zeka asistanı Bard tarafından derlenen benzer sorunlara ilişkin veriler ve geçmiş güvenlik açıklarına ilişkin ayrıntılı bilgi parçacıkları içermesi nedeniyle "sahte" olduğu ortaya çıktı. Her ne kadar bilgi yeni ve alakalı görünse de gerçeklikle bağlantısı yoktu.
- İkinci durumda, WebSocket işlemede arabellek taşması hakkında bir rapor alındı. Bu rapor, HackerOne aracılığıyla çeşitli projelerdeki güvenlik açıklarını zaten bildiren bir kullanıcıdan geldi. Sorunu tekrarlamak için raporda, değiştirilmiş bir isteğin nasıl gönderileceğine ilişkin genel talimatlar ve örnek bir düzeltme sağlandı.
Geliştirici, kodu baştan sona üç kez kontrol etmesine rağmen herhangi bir sorun bulamadı. Ancak raporun “bir miktar” güven oluşturacak şekilde yazılması ve hatta çözüm önerisi sunulması nedeniyle bir şeylerin yolunda gitmediği hissi devam etti.
Kullanıcının boyut kontrolünü nasıl atlamayı başardığını açıklığa kavuşturmak amacıyla, açıklamaların hiçbir ek bilgi içermediği ve yalnızca Curl koduyla ilgisi olmayan arabellek taşmalarının bariz yaygın nedenlerinden bahsedildiği belirtiliyor. Yanıtlar bir yapay zeka asistanıyla iletişim kurmaya benziyordu ve sorunun tam olarak nasıl ortaya çıktığını anlamaya yönelik nafile girişimlerden sonra Daniel Stenberg, sonunda hiçbir güvenlik açığının mevcut olmadığına ikna oldu ve konuyu "uygulanabilir" değil diye kapattı.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara şuradan bakabilirsiniz: aşağıdaki bağlantı.