Основатель проекта Curl Даниэль Стенберг (Daniel Stenberg) заявил, что сообщения об уязвимостях, сгенерированные с помощью ИИ, стали похожи на DDoS-атаку и только отнимают у мейнтейнеров время.
По словам Стенберга, все больше времени уходит на сортировку сообщений об уязвимостях на HackerOne, причем большинство из этих отчетов созданы с помощью ИИ и на проверку оказываются ложными, что можно приравнять к DDoS-атаке на проект.
Стенберг пишет в LinkedIn, что «с него хватит», и после одного особенно вопиющего случая он решил «прекратить это безумие». Отныне каждый отчет об ошибке в Curl, поданный через HackerOne, должен содержать информацию о том, использовался ли искусственный интеллект для его создания.
Если ИИ использовался, автору отчета следует ожидать шквала последующих вопросов, а также быть готовым предоставить доказательства подлинности ошибки, прежде чем команда разработчиков вообще уделит время этой «уязвимости».
«Теперь мы мгновенно баним всех, кто присылает отчеты, оказавшиеся ИИ-мусором, — пишет Стенберг. — Черта пройдена. Фактически мы подвергаемся DDoS-атаке. Будь у нас такая возможность, мы брали бы с них деньги за пустую трату нашего времени».
Разработчик подчеркивает, что за все время проект не получил ни единого достоверного отчета об уязвимости, созданного с помощью ИИ, зато количество таких сообщений постоянно растет.
«Несколько лет назад таких сообщений не было вовсе, а теперь их количество, похоже, только растет, — пишет Стенберг. — Мы еще не захлебнулись в них, но тенденция не очень хорошая».
Curl предлагает вознаграждение в размере до 9200 долларов за обнаружение критических уязвимостей, и с 2019 года проект выплатил исследователям 86 000 долларов за различные баги. Согласно статистике HackerOne, за последние 90 дней было получено более 20 сообщений об ошибках, но ни одно из них не привело к выплатам.
ИИ-инструменты позволяют неквалифицированным пользователям, осведомленным о программах bug bounty, быстро генерировать отчеты в надежде получить вознаграждение.
При этом, по словам Стенберга, использовать ИИ пытаются не только новички и мошенники, но и специалисты, имеющие определенную репутацию в сообществе. Дело в том, что последней каплей для основателя Curl стал отчет, в котором сообщалось об обнаружении нового эксплоита, «использующего циклы зависимостей потоков в стеке HTTP/3, что приводит к повреждению памяти и потенциальным DOS- и RCE-сценариям». В итоге оказалось, что в этом отчете фигурируют несуществующие функции.
«На какое-то время это меня обмануло. Ведь всё звучало почти правдоподобно, особенно учитывая тот факт, что у автора отчета действительно есть соответствующая “репутация” (то есть человек ранее уже сообщал об уязвимостях и его предыдущие отчеты были проверены и признаны достоверными). Кроме того, свою роль сыграло и то, что в этот день мы были заняты подготовкой к ежегодной встрече curl up», — рассказывает Стенберг.
Стоит отметить, что в декабре 2024 года разработчик Python Сет Ларсон (Seth Larson) высказывал похожие опасения. Он заявлял, что реагировать на созданные ИИ отчеты — дорого и долго, так как на первый взгляд они кажутся обоснованными, но каждый требует тщательной проверки опытным специалистом, потому что зачастую выясняется, что это лишь «галлюцинации» ИИ.
«Отчеты, на которые тратится время мейнтейнеров, приводят к путанице, стрессу, фрустрации и чувству изоляции из-за секретного характера отчетов об ошибках. Все это может привести к выгоранию контрибьюторов, которые пользуются большим доверием в проектах с открытым исходным кодом. По сути, такие низкокачественные отчеты стоит рассматривать как вредоносные. Даже если на самом деле они таковыми не являются, из-за этого мейнтейнеры выгорают и больше не хотят заниматься реальными вопросами безопасности», — заявлял Ларсон.
