Един от най-използваните инструменти в интернет екосистемата – cURL – спира своята програма за възнаграждения за уязвимости, след като проектът е бил залят от нискокачествени доклади, голяма част от които генерирани от AI. Основателят и водещ разработчик Даниел Стенберг обяви решението с аргумента, че поддържащият екип е твърде малък, за да се справи с непрекъснатия поток от фалшиви сигнали.
Съдържание на статията
Натиск върху малък екип
Стенберг подчертава, че проектът се поддържа от малко на брой активни разработчици, които не могат да влияят на начина, по който хората използват автоматизирани инструменти за генериране на доклади. Според него прекратяването на програмата е необходима стъпка, за да се запази устойчивостта на екипа и „психичното здраве“ на поддръжниците.
Решението предизвика критики от потребители, които се опасяват, че това ще отслаби сигурността на cURL. Стенберг признава, че рискът съществува, но подчертава, че ситуацията е станала непоносима.
Ескалация на фалшиви доклади
В отделна публикация той заявява, че екипът ще блокира и публично ще осмива потребители, които изпращат очевидно несъстоятелни доклади. GitHub страницата на проекта вече е обновена с официалното прекратяване на програмата в края на месеца.
cURL, появил се преди три десетилетия под имената httpget и urlget, днес е ключов инструмент за администратори, изследователи и специалисти по сигурност. Той е част от стандартните инсталации на Windows, macOS и почти всички Linux дистрибуции, което прави сигурността му критично важна.
Проблемът с AI халюцинациите
През последните месеци екипът е получавал множество доклади, базирани на несъществуващи уязвимости, генерирани от езикови модели. Част от тях включват измислени CVE номера, неверни кодови примери и несъществуващи промени в changelog файлове. Разработчиците често са принудени да обясняват на подателите, че са били подведени от AI.
Стенберг публикува и страница с примери за подобни доклади, като подчертава, че проблемът не е в AI като инструмент, а в безкритичното му използване.
Когато AI е полезен
Въпреки критиките, Стенберг не отхвърля AI като помощно средство. Той посочва успешен случай, при който изследовател, използващ AI-базиран анализатор на код, е помогнал за откриването на десетки реални проблеми. Според него разликата е в това дали инструментът се използва от компетентен човек, който разбира контекста.
По-широкият проблем
Случаят с cURL е част от по-голяма тенденция – AI съдържание, което залива различни платформи и подкопава качеството им. От музикални услуги, пълни с погрешно атрибутирани песни, до проекти с отворен код, които се борят с фалшиви доклади – ефектът вече се усеща. Прекратяването на програмата за възнаграждения може да се окаже първият сигнал, че AI шумът започва да подкопава и екосистемата на сигурността.
