Joshua Rogers mencuri perhatian di komunitas open-source dengan menemukan lebih dari 22 bug yang terkonfirmasi di cURL , salah satu perpustakaan jaringan yang paling banyak digunakan di dunia. Yang membuat penemuan ini sangat menonjol adalah bagaimana Rogers mencapainya - melalui kombinasi canggih dari alat analisis keamanan bertenaga AI daripada tinjauan kode manual tradisional.
Kisah sukses ini sangat kontras dengan banjir laporan bug berkualitas rendah yang dihasilkan AI yang telah mengganggu para pemelihara open-source. Daniel Stenberg , pemelihara utama cURL , sebelumnya telah menyatakan frustrasinya dengan peneliti keamanan amatir yang hanya melemparkan kode ke ChatGPT dan mengirimkan kerentanan apa pun yang diklaim AI temukan, tanpa verifikasi yang tepat.
Cara yang Tepat Menggunakan AI untuk Analisis Keamanan
Pendekatan Rogers mendemonstrasikan bagaimana AI dapat dimanfaatkan secara efektif untuk analisis kode ketika digunakan oleh seseorang dengan keahlian yang tepat. Alih-alih mengandalkan model bahasa tujuan umum, ia menggunakan alat pengujian keamanan analisis statis berbantuan AI (SAST) yang khusus termasuk ZeroPath , Corgea , dan Almanax . Alat-alat ini tidak hanya menghasilkan kerentanan potensial - mereka menggunakan AI untuk menyaring dan memprioritaskan temuan dari penganalisis statis tradisional, secara signifikan mengurangi positif palsu.
Respons komunitas sangat positif, dengan banyak pengembang mencatat bahwa ini mewakili kasus penggunaan ideal untuk AI dalam pemrograman. Daripada membuat AI menulis kode yang harus ditinjau manusia, alat-alat ini membantu mengidentifikasi area mencurigakan yang memerlukan inspeksi manusia lebih dekat.
Perangkat AI yang Digunakan oleh Joshua Rogers:
- ZeroPath (berbasis langganan, paket reguler $200 USD)
- Corgea (penyaringan SAST bertenaga AI)
- Almanax (platform analisis keamanan)
- Pengaturan analisis statis berbantuan AI khusus
Melampaui Analisis Statis Tradisional
Yang membuat temuan Rogers sangat mengesankan adalah bahwa cURL telah dianalisis oleh tiga penganalisis kode yang kompeten, yang semuanya melaporkan tidak ada masalah yang ditemukan. Alat berbantuan AI berhasil mengungkap masalah yang terlewat oleh analisis statis konvensional, termasuk cacat keamanan potensial bersama bug yang lebih kecil.
Ini persis yang saya inginkan dari 'pendamping coding AI'. Jangan menulis atau memperbaiki kode untuk saya, tetapi sebaliknya beri tahu saya tempat mana dalam kode yang terlihat mencurigakan dan di mana saya perlu melihat lebih dekat.
Bug-bug tersebut berkisar dari masalah coding kecil hingga masalah yang lebih serius, dengan beberapa perbaikan mengatasi spesifikasi format printf yang salah dan kesalahan halus lainnya yang dapat memiliki implikasi keamanan. Stenberg telah menggabungkan 22 perbaikan bug berdasarkan laporan Rogers dan terus mengerjakan masalah yang tersisa.
Hasil Penemuan Bug:
- 22+ bug terkonfirmasi telah diperbaiki di cURL
- Masalah tambahan masih dalam tahap peninjauan (diperkirakan total 40+ temuan)
- Campuran bug minor dan kerentanan keamanan potensial
- Ditemukan setelah 3 penganalisis kode tradisional melaporkan "tidak ada masalah"
Pendekatan Profesional untuk Penelitian Keamanan Berbantuan AI
Perbedaan utama antara karya Rogers dan laporan bermasalah yang dihasilkan AI yang biasanya diterima pemelihara terletak pada metodologinya. Rogers menggunakan alat analisis keamanan yang dibuat khusus, dengan hati-hati meninjau setiap temuan, dan memverifikasi kerentanan sebelum melaporkannya. Pendekatan profesional ini sangat kontras dengan peneliti amatir yang mengirimkan output AI mentah tanpa pemahaman atau verifikasi.
Kesuksesan ini telah memicu diskusi yang lebih luas tentang masa depan AI dalam keamanan perangkat lunak. Banyak di komunitas melihat ini sebagai validasi bahwa alat AI, ketika digunakan dengan tepat oleh profesional yang berpengetahuan, dapat secara signifikan meningkatkan metode analisis keamanan tradisional. Namun, penekanan tetap pada keahlian manusia - AI berfungsi sebagai asisten canggih daripada pengganti untuk peneliti keamanan yang terampil.
Perkembangan ini menawarkan harapan bagi komunitas open-source, mendemonstrasikan bahwa AI dapat menjadi sekutu yang berharga dalam memelihara keamanan perangkat lunak ketika digunakan secara bertanggung jawab dan profesional.
Referensi: Joshua Rogers sent us a massive list of potential issues in # curl