互联网上最受欢迎的网络工具之一的项目开发商在收到大量低质量报告(其中很多是人工智能生成的垃圾报告)后,取消了其漏洞奖励计划。
“我们只是一个规模很小的开源项目,活跃维护者也寥寥无几,”开源应用 cURL 的创始人兼首席开发者丹尼尔·斯坦伯格周四表示(https://github.com/curl/curl/pull/20312)。“我们无力改变所有人及其机器的运作方式。我们需要采取行动,以确保我们的生存和心理健康。”
制造虚假漏洞
在他发表这番言论之际,cURL 用户抱怨此举只是治标不治本,并未解决人工智能漏洞造成的根本问题。用户们表示,他们担心此举会消除确保和维护该工具安全性的关键手段。Stenberg 对此基本表示赞同,但也指出他的团队别无选择。
周四,斯坦伯格在另一篇帖子中写道:“如果你浪费我们的时间提交垃圾报告,我们将封禁你的账号并公开嘲笑你。” cURL 官方 GitHub 账号的更新正式宣布了这一终止决定,该决定将于本月底生效。(https://github.com/curl/curl/blob/cc8df2b13d057a5d1e68380089eec220d7d0cef2/docs/BUG-BOUNTY.md)
cURL 最初于三十年前发布,当时名为 httpget,后来更名为 urlget。此后,它已成为管理员、研究人员、安全专家等众多用户不可或缺的工具,可用于执行各种任务,包括文件传输、排查 Web 软件故障以及自动化任务。cURL 已集成到 Windows、macOS 和大多数 Linux 发行版的默认版本中。
作为一款广泛用于在线处理海量数据的工具,cURL 的安全性至关重要。与其他许多软件开发商一样,cURL 项目成员一直依赖外部研究人员提交的私人漏洞报告。为了激励并奖励高质量的漏洞报告,项目成员为高危漏洞报告提供现金奖励。
去年五月,斯坦伯格表示,大量低质量的 AI 生成的报告给 cURL 安全团队带来了压力,而且这种情况可能会蔓延开来,阻碍其他软件开发人员的工作。
“人工智能的垃圾现在让维护人员不堪重负,而且这种情况不会止步于 curl,而只是从 curl 开始,”他当时说道。
首席开发者还发布了一个页面(https://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d1cd),列出了近几个月来提交的一些似是而非的报告。针对其中一份报告,一位 cURL 项目成员写道:“我认为你是 LLM 幻觉的受害者。” 该成员继续说道:
这段文字与(伪造的)CVE-2020-19909 和其他一些报告有相似之处。有很多线索表明 Bard 捏造了虚假信息:例如,“curl_easy_setopt”这段代码与该函数的实际签名不符(甚至无法编译),变更日志与实际情况不符,以及其他更多迹象表明这完全是捏造的。我很想知道你针对这个虚构漏洞的漏洞利用程序会如何运作。你愿意分享一下吗?
在漏洞报告者抱怨并重申了根本不存在的漏洞所带来的风险之后,斯坦伯格立即回应道:“你被人工智能欺骗,相信了这一点。我们究竟在哪些方面没有履行承诺?”
斯滕伯格并非对所有人工智能辅助的错误报告都持批评态度。今年9月,他曾公开赞扬一位研究人员提交了一份“海量”错误列表,这些错误都是通过一系列人工智能辅助工具发现的。当时,这份报告促成了22个错误的修复。
在一次采访中,斯坦伯格表示,记者约书亚·罗杰斯主要使用了人工智能代码分析器 ZeroPath。
斯坦伯格写道:“一个聪明人使用了一个强大的工具。我认为我们收到的大多数最糟糕的报告都来自那些只是询问人工智能机器人,而对它报告的内容漠不关心或不甚了解的人。”
不幸的是,这种情况似乎只是个例。人工智能生成的垃圾歌曲已经充斥着音乐流媒体服务,其中很多歌曲都被错误地归类为真实歌手,导致这些平台逐渐变得无法用于音乐发现。cURL 的举动或许预示着类似的情况也正在漏洞赏金计划中发生。
