AI用于检测安全问题
几天前, 丹尼尔·斯坦伯格 (《卷曲》作者) 广为人知 在你的博客上, 一个帖子 其中它不仅表达为 批评人工智能工具的使用,但以投诉的形式,这给他和他的团队带来的不便,人工智能工具生成的安全报告。
丹尼尔·斯坦伯格 (Daniel Stenberg) 在他的出版物中 提到多年来核实所有报告并丢弃的过程 在“垃圾”和“真正”的安全问题之间, 这并不需要额外的努力。,正如它提到的,“垃圾报告通常也很容易、快速地检测和丢弃。”
随着近年来人工智能的兴起,许多以前需要大量人工干预的任务已经发生了革命性的变化。在本博客中提到最多的案例中,我们讨论了致力于编程、图像生成和视频编辑的人工智能主题,例如 ChatGPT、Copilot、Bard 等。
在编程的具体领域,Copilot 引起了众多批评,主要担心的是面临法律诉讼的可能性。然而,在天平的另一端,人工智能的介入已经显着改变了各个领域。例如,在检测代码中的错误和安全问题方面,人工智能发挥了至关重要的作用。许多人采用这些工具来识别代码中潜在的错误和漏洞,并经常参与检测安全问题的赏金计划。
Curl也没有逃脱这一趋势,Daniel Stenberg表示 在他的博客上说, 压抑了几个月的意见后,他终于爆发了 不同意使用人工智能工具。 你沮丧背后的原因 是的 使用这些工具生成的“垃圾”报告数量不断增加。
该出版物中强调, 这些报告有详细的外观,都是用普通语言编写的,看起来质量很高。 然而,如果不仔细分析,它们就会被证明是误导性的, 因为它们用看似有价值的低质量内容取代了真正的问题。
萨尔瓦多PROYECTO Curl,为识别新漏洞提供奖励,共收到415份潜在问题报告。从这组作品来看, 只有 64 个被确认为真正的漏洞, 77 个描述了与安全无关的错误,令人惊讶的是,274 个(66%)不包含有用的信息, 占用了开发人员本可以花在有用的事情上的时间。
开发人员被迫浪费大量时间分析无用的报告并反复检查其中包含的信息,因为设计的外部质量增加了对信息的信任,并且有一种开发人员不理解某些内容的感觉。
另一方面,生成这样的报告需要请求者付出最少的努力,他们不会费心去检查是否存在真正的问题,只是盲目地复制从人工智能助手那里收到的数据,希望能碰上好运在战斗中获得奖励。
丹尼尔·斯坦伯格, 分享两个此类垃圾报告的例子:
- 在第一个案例中,就在计划于 10 月份发布有关严重漏洞的信息之前,通过 HackerOne 收到了一份报告,表明已经存在一个公共补丁来解决该问题。然而,该报告被证明是“假的”,因为它包含由谷歌人工智能助手巴德编译的类似问题的数据以及有关过去漏洞的详细信息片段。尽管这些信息看起来新颖且相关,但缺乏与现实的联系。
- 在第二种情况下,收到了有关 WebSocket 处理中缓冲区溢出的报告。该报告来自一位用户,该用户已经通过 HackerOne 向多个项目报告了漏洞。为了重现该问题,该报告提供了有关如何提交修改后的请求的一般说明和示例修复。
尽管对代码进行了彻底的三次检查,开发人员没有发现任何问题。然而,由于该报告的编写方式是为了产生“一些”信心,甚至提出了一个拟议的解决方案,所以总有一种不合常理的感觉。
为了澄清用户如何设法绕过大小检查,提到解释不包含任何附加信息,仅讨论了与 Curl 代码无关的缓冲区溢出的明显常见原因。这些回应让人想起与人工智能助手的沟通,在试图弄清楚问题到底是如何表现出来的徒劳之后,丹尼尔·斯坦伯格最终确信不存在任何漏洞,并以不“适用”为由关闭了该主题。
最后,如果您有兴趣能够了解更多,可以在 以下链接。