SG.hu
A nyílt forráskódú fejlesztők belefulladnak a mesterséges intelligencia által írt hibajelentésekbe
A mesterséges intelligenciamodellek által generált szoftveres sebezhetőségi bejelentések „a nyílt forráskódú biztonsági jelentések új korszakát” hozták el. A projekteket karbantartó fejlesztők azt szeretnék, ha a hibavadászok kevésbé hagyatkoznának a gépi tanulási asszisztensek által készített eredményekre.
Seth Larson, a Python Software Foundation biztonsági fejlesztője egy blogbejegyzésben vetette fel a problémát, és arra buzdította a hibabejelentőket, hogy ne használjanak mesterséges intelligenciával működő rendszereket a hibavadászathoz. "Az utóbbi időben a nyílt forráskódú projektekhez érkező, rendkívül rossz minőségű, spammelt és LLM-hallucinált biztonsági jelentések megugrását vettem észre” - írta, rámutatva a Curl projekt hasonló januári megállapításaira. „Ezek a jelentések első ránézésre potenciálisan legitimnek tűnnek, és így időt igényelnek a cáfolatukhoz”. Larson szerint az alacsony minőségű jelentéseket úgy kell kezelni, mintha rosszindulatúak lennének.
Mintha ezeknek az aggodalmaknak az állandóságát hangsúlyozná egy december 8-án közzétett Curl-projekt hibajelentés, amelyből kiderül, hogy közel egy évvel azután, hogy egy szakember, Daniel Stenberg felvetette a problémát, még mindig egy olyan hibabejelentővel való vitára vesztegeti idejét, aki részben vagy teljesen automatizált lehet. A hibajelentésre válaszul Stenberg ezt írta:
"Rendszeresen és nagy mennyiségben kapunk ilyen MI-szemetet. Hozzájárulsz a Curl karbantartók felesleges terheléséhez, és én ezt nem vagyok hajlandó félvállról venni. Eltökéltem, hogy fellépek ellene. Most és a továbbiakban is. Egy nyilvánvalóan MI-által generált jelentést küldtél be, amelyben azt állítod, hogy biztonsági probléma van, valószínűleg azért, mert egy MI becsapott téged. Ezután azzal vesztegeted az időnket, hogy nem mondod el nekünk, hogy ezt egy mesterséges intelligencia tette helyetted, majd a vitát még több szaros válasszal folytatod - úgy tűnik, szintén mesterséges intelligencia által generálva."
A spamszerű, rossz minőségű online tartalom már jóval a chatrobotok előtt is létezett, de a generatív MI modellek megkönnyítették az ilyen tartalmak előállítását. Az eredmény az újságírás, a webes keresés és természetesen a közösségi média szennyezése. A nyílt forráskódú projektek számára a mesterséges intelligenciával támogatott hibajelentések különösen károsak, mivel biztonsági mérnökök - akik közül sokan önkéntesek - értékelését igénylik, akiknek amúgy is kevés az idejük.
Larson bár viszonylag kevés MI hibajelentést lát - havonta kevesebb mint tízet -, ezek jelentik a közmondásos kanárit a szénbányában. "Bármi is történik a Python vagy a pip esetében, az előbb-utóbb valószínűleg több projekttel vagy gyakrabban fog megtörténni” - figyelmeztetett. "Leginkább azok a fejlesztők aggasztanak, akik ezt elszigetelten kezelik. Ha nem tudják, hogy az MI által generált jelentések mindennaposak, akkor lehet, hogy nem lesznek képesek felismerni, hogy mi történik, mielőtt rengeteg időt pazarolnának egy hamis jelentésre. Értékes önkéntes időt pazarolni olyasmire, amit nem szeretsz, és mindezt a semmiért, a legbiztosabb módja annak, hogy a szakemberek kiégjenek, vagy elüldözzék őket a biztonsági munkától.”
Larson szerint a nyílt forráskódú közösségnek meg kell előznie ezt a trendet, hogy mérsékelje a potenciális károkat. "Habozom azt mondani, hogy a 'több technológia' fogja megoldani a problémát” - mondta. "Szerintem a nyílt forráskódú biztonságnak alapvető változásokra van szüksége. Nem lehet, hogy továbbra is csak néhány ember dolgozzon. Nagyobb normalizálásra és átláthatóságra van szükségünk az ilyen típusú nyílt forráskódú hozzájárulások tekintetében. Választ kellene adnunk arra a kérdésre, hogy hogyan tudnánk több megbízható személyt bevonni a nyílt forráskódú rendszerekbe. A személyi állomány finanszírozása az egyik válasz - mint például a saját ösztöndíjam az Alpha-Omega révén -, és az adományozott munkaidőből való részvétel a másik.”
Amíg a nyílt forráskódú közösség azon töpreng, hogyan reagáljon, Larson arra kéri a hibabejelentőket, hogy csak akkor küldjenek bejelentést, ha azt egy ember ellenőrizte - és ne használjanak mesterséges intelligenciát, mert „ezek a rendszerek nem képesek megérteni a kódot”. Arra is sürgeti azokat a platformokat, amelyek a fejlesztők nevében fogadnak sérülékenységi jelentéseket, hogy tegyenek lépéseket az automatizált vagy visszaélésszerű biztonsági jelentések létrehozásának korlátozására.
Seth Larson, a Python Software Foundation biztonsági fejlesztője egy blogbejegyzésben vetette fel a problémát, és arra buzdította a hibabejelentőket, hogy ne használjanak mesterséges intelligenciával működő rendszereket a hibavadászathoz. "Az utóbbi időben a nyílt forráskódú projektekhez érkező, rendkívül rossz minőségű, spammelt és LLM-hallucinált biztonsági jelentések megugrását vettem észre” - írta, rámutatva a Curl projekt hasonló januári megállapításaira. „Ezek a jelentések első ránézésre potenciálisan legitimnek tűnnek, és így időt igényelnek a cáfolatukhoz”. Larson szerint az alacsony minőségű jelentéseket úgy kell kezelni, mintha rosszindulatúak lennének.
Mintha ezeknek az aggodalmaknak az állandóságát hangsúlyozná egy december 8-án közzétett Curl-projekt hibajelentés, amelyből kiderül, hogy közel egy évvel azután, hogy egy szakember, Daniel Stenberg felvetette a problémát, még mindig egy olyan hibabejelentővel való vitára vesztegeti idejét, aki részben vagy teljesen automatizált lehet. A hibajelentésre válaszul Stenberg ezt írta:
"Rendszeresen és nagy mennyiségben kapunk ilyen MI-szemetet. Hozzájárulsz a Curl karbantartók felesleges terheléséhez, és én ezt nem vagyok hajlandó félvállról venni. Eltökéltem, hogy fellépek ellene. Most és a továbbiakban is. Egy nyilvánvalóan MI-által generált jelentést küldtél be, amelyben azt állítod, hogy biztonsági probléma van, valószínűleg azért, mert egy MI becsapott téged. Ezután azzal vesztegeted az időnket, hogy nem mondod el nekünk, hogy ezt egy mesterséges intelligencia tette helyetted, majd a vitát még több szaros válasszal folytatod - úgy tűnik, szintén mesterséges intelligencia által generálva."
A spamszerű, rossz minőségű online tartalom már jóval a chatrobotok előtt is létezett, de a generatív MI modellek megkönnyítették az ilyen tartalmak előállítását. Az eredmény az újságírás, a webes keresés és természetesen a közösségi média szennyezése. A nyílt forráskódú projektek számára a mesterséges intelligenciával támogatott hibajelentések különösen károsak, mivel biztonsági mérnökök - akik közül sokan önkéntesek - értékelését igénylik, akiknek amúgy is kevés az idejük.
Larson bár viszonylag kevés MI hibajelentést lát - havonta kevesebb mint tízet -, ezek jelentik a közmondásos kanárit a szénbányában. "Bármi is történik a Python vagy a pip esetében, az előbb-utóbb valószínűleg több projekttel vagy gyakrabban fog megtörténni” - figyelmeztetett. "Leginkább azok a fejlesztők aggasztanak, akik ezt elszigetelten kezelik. Ha nem tudják, hogy az MI által generált jelentések mindennaposak, akkor lehet, hogy nem lesznek képesek felismerni, hogy mi történik, mielőtt rengeteg időt pazarolnának egy hamis jelentésre. Értékes önkéntes időt pazarolni olyasmire, amit nem szeretsz, és mindezt a semmiért, a legbiztosabb módja annak, hogy a szakemberek kiégjenek, vagy elüldözzék őket a biztonsági munkától.”
Larson szerint a nyílt forráskódú közösségnek meg kell előznie ezt a trendet, hogy mérsékelje a potenciális károkat. "Habozom azt mondani, hogy a 'több technológia' fogja megoldani a problémát” - mondta. "Szerintem a nyílt forráskódú biztonságnak alapvető változásokra van szüksége. Nem lehet, hogy továbbra is csak néhány ember dolgozzon. Nagyobb normalizálásra és átláthatóságra van szükségünk az ilyen típusú nyílt forráskódú hozzájárulások tekintetében. Választ kellene adnunk arra a kérdésre, hogy hogyan tudnánk több megbízható személyt bevonni a nyílt forráskódú rendszerekbe. A személyi állomány finanszírozása az egyik válasz - mint például a saját ösztöndíjam az Alpha-Omega révén -, és az adományozott munkaidőből való részvétel a másik.”
Amíg a nyílt forráskódú közösség azon töpreng, hogyan reagáljon, Larson arra kéri a hibabejelentőket, hogy csak akkor küldjenek bejelentést, ha azt egy ember ellenőrizte - és ne használjanak mesterséges intelligenciát, mert „ezek a rendszerek nem képesek megérteni a kódot”. Arra is sürgeti azokat a platformokat, amelyek a fejlesztők nevében fogadnak sérülékenységi jelentéseket, hogy tegyenek lépéseket az automatizált vagy visszaélésszerű biztonsági jelentések létrehozásának korlátozására.