Разработчики cURL прекращают программу вознаграждений за баги из-за наплыва низкокачественных, часто сгенерированных ИИ отчётов. Это решение вызвало обеспокоенность среди пользователей, так как угрожает безопасности инструмента, несмотря на то, что разработчики видят в этом единственное спасение от "мусора", включая LLM, находящие ложные уязвимости и некомпилируемый код.
Разработчик одного из самых популярных в интернете сетевых инструментов сворачивает программу вознаграждений за обнаружение уязвимостей после наплыва низкокачественных отчётов, значительная часть которых сгенерирована искусственным интеллектом. «Мы всего лишь небольшой опенсорсный проект с небольшим числом активных мейнтейнеров», — заявил в четверг Даниэль Стенберг, основатель и ведущий разработчик приложения cURL. «Мы не в силах изменить то, как работают все эти люди и их машины для генерации «мусора». Нам необходимо принять меры для обеспечения нашего выживания и сохранения душевного здоровья».
Его комментарии прозвучали на фоне жалоб пользователей cURL на то, что данный шаг направлен на устранение симптомов, вызванных ИИ-«мусором», но не затрагивает саму причину. Пользователи выразили обеспокоенность, что это действие устранит ключевое средство обеспечения и поддержания безопасности инструмента. Стенберг в значительной степени согласился, но указал, что у его команды было мало выбора.
В отдельном сообщении, опубликованном в четверг, Стенберг написал: «Мы забаним вас и будем публично высмеивать, если вы будете тратить наше время на отчёты-отбросы». Обновление в официальном аккаунте cURL на GitHub официально закрепило прекращение действия программы, которое вступит в силу в конце этого месяца.
cURL был впервые выпущен три десятилетия назад под названием httpget, а затем urlget. С тех пор он стал незаменимым инструментом среди администраторов, исследователей и специалистов по безопасности, среди прочих, для широкого спектра задач, включая передачу файлов, устранение неполадок в проблемном веб-ПО и автоматизацию процессов. cURL интегрирован в стандартные версии Windows, macOS и большинства дистрибутивов Linux.
Поскольку это столь широко используемый инструмент для взаимодействия с огромными объёмами данных в сети, безопасность имеет первостепенное значение. Как и многие другие разработчики программного обеспечения, члены проекта cURL полагались на частные сообщения об ошибках, присылаемые сторонними исследователями. Чтобы стимулировать и вознаграждать высококачественные отчёты, члены проекта выплачивали денежные вознаграждения за сообщения о критических уязвимостях.
В мае прошлого года Стенберг сообщил, что количество низкокачественных отчётов, сгенерированных ИИ, создаёт нагрузку на команду безопасности cURL и, вероятно, будет усугубляться, мешая работе других разработчиков программного обеспечения. «ИИ-мусор переполняет мейнтейнеров *уже сегодня*, и это не остановится на curl, а только начнётся с него», — заявил он тогда.
Ведущий разработчик также опубликовал страницу со списком некоторых сомнительных отчётов, поданных за последние месяцы. В ответ на один такой отчёт член проекта cURL написал: «Похоже, вы стали жертвой галлюцинации LLM». Участник продолжил: «После того как сообщивший об ошибке пожаловался и подтвердил риск, исходящий от несуществующей уязвимости, Стенберг вмешался и написал: «Вас обманул ИИ, заставив поверить в это. Каким образом мы не выполнили свою часть сделки?»
Стенберг не критикует отчёты об ошибках, созданные с помощью ИИ, во всех случаях. В сентябре он публично похвалил исследователя за отправку «массивного списка» ошибок, обнаруженных с помощью набора инструментов с поддержкой ИИ. На тот момент эти сообщения привели к 22 исправлениям ошибок.
В интервью Стенберг рассказал, что отправитель, Джошуа Роджерс, в основном использовал анализатор кода на базе ИИ под названием ZeroPath. «Умный человек, использующий мощный инструмент», — написал Стенберг. «Я считаю, что большинство худших отчётов, которые мы получаем, исходят от людей, которые просто обращаются к боту с ИИ, не заботясь и не понимая, что он сообщает».
К сожалению, такие случаи, по-видимому, являются исключением. ИИ-«мусор» уже наводнил сервисы потоковой передачи музыки таким количеством песен — часто с неверным указанием авторства реальных исполнителей, — что платформы постепенно становятся непригодными для поиска музыки. Шаги, предпринятые cURL, могут стать ранним признаком того, что нечто подобное происходит и с программами bug bounty».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Goodin