Dezvoltatorul proiectului pentru unul dintre cele mai populare instrumente de rețea de pe Internet, cURL, a decis să renunțe la programul său de recompense pentru vulnerabilități, după ce a fost copleșit de o avalanșă de rapoarte de calitate scăzută, multe dintre ele generate de inteligența artificială (AI).
„Suntem doar un mic proiect open source cu un număr redus de mentenanți activi”, a declarat joi Daniel Stenberg, fondatorul și principalul dezvoltator al aplicației open source cURL. „Nu ne stă în putere să schimbăm modul în care toate aceste persoane și mașinăriile lor de erori funcționează. Trebuie să facem pași pentru a ne asigura supraviețuirea și sănătatea mintală intactă.”
Comentariile sale vin în contextul în care utilizatorii cURL s-au plâns că această măsură tratează simptomele provocate de erorile AI fără să abordeze cauza. Utilizatorii și-au exprimat îngrijorarea că renunțarea la acest program va elimina un mijloc esențial de asigurare și menținere a securității instrumentului. Stenberg a fost în mare parte de acord, dar a indicat că echipa sa avea puține alternative.
Într-o postare separată de joi, Stenberg a scris: „Vă vom interzice și vă vom ridiculiza public dacă ne pierdeți timpul cu rapoarte neserioase.” O actualizare pe contul oficial GitHub al cURL a făcut oficială această terminare, care va intra în vigoare la sfârșitul acestei luni.
Lansat inițial acum trei decenii sub numele httpget și mai târziu urlget, cURL a devenit un instrument indispensabil pentru administratori, cercetători și profesioniști în securitate, printre alții, pentru o gamă largă de sarcini, inclusiv transferuri de fișiere, diagnosticarea problemelor software-ului web și automatizarea sarcinilor. cURL este integrat în versiunile implicite ale Windows, macOS și majoritatea distribuțiilor Linux.
Având în vedere utilizarea sa extinsă pentru interacțiunea cu cantități imense de date online, securitatea este de cea mai mare importanță. La fel ca mulți alți producători de software, membrii proiectului cURL s-au bazat pe rapoarte de erori private trimise de cercetători externi. Pentru a oferi un stimulent și pentru a recompensa contribuțiile de înaltă calitate, membrii proiectului au plătit recompense în bani în schimbul rapoartelor despre vulnerabilitățile severe.
În mai anul trecut, Stenberg a menționat că numărul rapoartelor de calitate scăzută generate de AI punea o presiune asupra echipei de securitate cURL și era probabil să se extindă, afectând și alți dezvoltatori de software.
„Erorile AI ne copleșesc *astăzi* și nu se vor opri la cURL, ci doar încep de aici”, a spus el atunci.
Dezvoltatorul principal a postat, de asemenea, o pagină cu unele dintre rapoartele specioase trimise în ultimele luni. Răspunzând la un astfel de raport, un membru al proiectului cURL a scris: „Cred că ești victima unei halucinații a LLM.” Membrul a continuat:
Textul are unele asemănări cu (falsul) CVE-2020-19909 și alte rapoarte. Există multe indicii că Bard a fabricat informații false: acel fragment de cod „curl_easy_setopt” nu se potrivește cu semnătura reală a funcției (și nici nu s-ar compila), un jurnal de modificări care nu corespunde realității și mai multe indicii că acesta este complet fals. Sunt curios să aud ce crezi tu
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele opțiuni considerați că ar trebui să facă echipa cURL pentru a gestiona rapoartele de vulnerabilități de calitate scăzută generate de AI?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply