Problemi s niskokvalitetnim izvještajima o sigurnosti u open source projektima
Seth Larson, radnik na filtriranju izvještaja o sigurnosti, otkrio je da se mnogi održavatelji open source projekata suočavaju s problemom “niskokvalitetnih, spamerskih i AI-generiranih izvještaja o sigurnosti”. Ovi izvještaji, često netočni i obmanjujući, zahtijevaju puno vremena i truda za pregled, što odvlači pažnju od ograničenog vremena koje održavatelji i programeri open source softvera, koji rade na volonterskoj osnovi, obično imaju.
Utjecaj AI-generiranih izvještaja na održavatelje
Larson ističe da su održavatelji često obeshrabreni dijeljenjem svojih iskustava ili traženjem pomoći zbog osjetljive prirode izvještaja o sigurnosti. Ovaj problem čini nepouzdane izvještaje o sigurnosti još vremenski zahtjevnijima. Održavatelji open source projekata poput Curla i Pythona nedavno su primili “porast” takvih izvještaja. Larson se poziva na post Daniela Stenberga, održavatelja Curla, koji je izrazio zabrinutost zbog prijave AI-generirane ranjivosti bez prethodne provjere.
Kritika na račun AI-generiranih izvještaja
Stenberg, koji drži poziciju održavatelja Curla, rekao je: “Redovito primamo ovakve AI izvještaje u velikom obujmu. Doprinosite nepotrebnom opterećenju održavatelja Curla i ne mogu to shvatiti olako. Odlučan sam brzo djelovati protiv toga… Predali ste očigledno AI-generirani ‘izvještaj’ u kojem tvrđete da postoji sigurnosni problem, vjerojatno zato što vas je AI prevario i uvjerio u to.”
Kako se nositi s lažnim izvještajima
Iako problem lažnih izvještaja nije nova pojava, čini se da je umjetna inteligencija pogoršala situaciju. AI-generirani izvještaji o greškama već vam oduzimaju energiju i vrijeme održavateljima, a Larson upozorava da bi kontinuirani lažni izvještaji mogli obeshrabriti programere da uopće doprinosi open source projektima.
Preporuke za poboljšanje kvalitete izvještaja
Larson poziva autore izvještaja o greškama da ručno provjere svoje prijave prije slanja, te da izbjegavaju korištenje AI za otkrivanje ranjivosti. Izvještaji koji nude konkretna rješenja umjesto samo naglašavanja nejasnih problema mogu se pokazati korisnima za održavatelje.
Obaveze održavatelja
Prema Larsonovim riječima, održavatelji ne bi trebali odgovarati na sumnjive AI-generirane izvještaje kako bi si uštedjeli vrijeme, a ako su u dvojbi, trebali bi zatražiti od izvjestitelja da opravdaju svoje tvrdnje.
Zaključak
Povećani broj niskokvalitetnih, AI-generiranih izvještaja o sigurnosti predstavlja ozbiljan izazov za održavatelje open source projekata. Potrebno je zajedničko djelovanje kako bi se poboljšala kvaliteta izvještaja i osiguralo da programeri nastave doprinositi tim vitalnim projektima. Ako se situacija ne poboljša, mogli bismo izgubiti dragocjene resurse i inovacije koje dolaze iz open source zajednice.
