Proyek curl yang populer telah menerapkan kebijakan larangan instan untuk peneliti keamanan yang mengirimkan laporan kerentanan buatan AI, menyusul banjir temuan keamanan berkualitas rendah dan palsu yang telah membanjiri para maintainer dan menghabiskan sumber daya pengembangan yang berharga.
Laporan Keamanan yang Dihasilkan AI yang Didokumentasikan oleh curl:
- Total laporan: 17 kasus
- Jenis laporan: Buffer overflow, kerentanan format string, kebocoran memori, masalah kriptografi
- Platform: Program bug bounty HackerOne
- Respons kebijakan: Larangan instan untuk pengajuan yang dihasilkan AI
Skala Spam Laporan Buatan AI
Tim curl telah mendokumentasikan 17 kasus spesifik laporan keamanan buatan AI yang dikirimkan melalui program bug bounty HackerOne mereka. Laporan-laporan ini berkisar dari dugaan kerentanan buffer overflow hingga masalah algoritma kriptografi, tetapi semuanya memiliki sifat yang sama: dibuat oleh alat kecerdasan buatan tanpa pemahaman yang sesungguhnya terhadap codebase atau penelitian keamanan yang asli.
Anggota komunitas telah mencatat bahwa banyak dari laporan ini mengikuti pola yang dapat diprediksi. Pengajuan tersebut sering membuat klaim yang samar tentang jenis kerentanan yang sudah dikenal seperti buffer overflow dalam fungsi seperti strcpy(), tetapi gagal memberikan nomor baris spesifik, kode proof-of-concept, atau bukti konkret apa pun tentang kelemahan keamanan yang sebenarnya.
Karakteristik Umum Laporan yang Dihasilkan AI:
- Klaim kerentanan yang samar tanpa bukti spesifik
- Gagal memberikan nomor baris atau kode proof-of-concept
- Deskripsi generik tentang jenis kerentanan yang sudah dikenal umum
- Respons berputar-putar ketika ditanyai oleh maintainer
- Menyalin-tempel pertanyaan lanjutan kembali ke dalam tools AI
Pengurasan Sumber Daya pada Maintainer Open Source
Dampak pada maintainer curl sangat signifikan. Setiap laporan keamanan memerlukan investigasi dan respons yang cermat, terlepas dari kualitasnya, karena kerentanan keamanan yang sah harus ditanggapi dengan serius. Ini menciptakan beban yang tidak seimbang di mana AI dapat menghasilkan puluhan laporan dalam hitungan menit, tetapi para ahli manusia memerlukan jam atau hari untuk menyelidiki dan membantah setiap klaim palsu dengan benar.
Seorang pengamat komunitas menyoroti masalah inti: laporan-laporan ini berfungsi mirip dengan serangan distributed denial-of-service pada kemampuan respons keamanan proyek. Ketika maintainer menghabiskan waktu untuk menyelidiki kerentanan palsu, mereka memiliki kapasitas yang lebih sedikit untuk menangani masalah keamanan yang nyata dan pekerjaan pengembangan yang sah.
Kualitas Program Bug Bounty yang Memburuk
Situasi ini mencerminkan tantangan yang lebih luas yang dihadapi program bug bounty di seluruh industri teknologi. Apa yang dulunya merupakan cara berharga bagi peneliti keamanan untuk berkontribusi pada keselamatan perangkat lunak kini dirusak oleh individu yang menggunakan alat AI untuk menghasilkan laporan kerentanan yang terdengar masuk akal tetapi pada akhirnya tidak berharga.
Laporan ini dan laporan Anda yang lain tampak seperti serangan terhadap sumber daya kami untuk menangani masalah keamanan.
Frustrasi tim curl terlihat jelas dalam komunikasi mereka dengan para pengirim laporan. Banyak dari laporan buatan AI menjadi lebih bermasalah ketika maintainer mengajukan pertanyaan lanjutan, karena pengirim sering menyalin-tempel pertanyaan tersebut kembali ke alat AI mereka, menciptakan percakapan melingkar yang membuang lebih banyak waktu.
Berakhirnya Asumsi Itikad Baik
Keputusan proyek curl untuk menerapkan larangan instan merepresentasikan pergeseran dari asumsi itikad baik dalam laporan keamanan. Sebelumnya, maintainer akan bekerja dengan sabar bersama peneliti yang mungkin kesulitan mengartikulasikan masalah teknis dengan jelas. Namun, volume dan sifat yang jelas dari spam buatan AI telah memaksa mereka untuk mengadopsi pendekatan penyaringan yang lebih agresif.
Perubahan ini sayangnya mungkin berdampak pada peneliti sah yang kurang memiliki keterampilan menulis teknis yang kuat tetapi telah menemukan kerentanan yang nyata. Komunitas sekarang sedang mendiskusikan solusi potensial, termasuk mewajibkan detail teknis spesifik seperti nomor baris atau input proof-of-concept sebelum laporan diterima untuk ditinjau.
Pengalaman tim curl berfungsi sebagai peringatan bagi proyek open source lainnya tentang ancaman yang muncul dari spam laporan keamanan buatan AI dan kebutuhan akan kebijakan baru untuk melindungi sumber daya maintainer sambil mempertahankan saluran penelitian keamanan yang sah.
Referensi: Slop