A ARS entrou em contato com o Hackerone para comentar e atualizará esta postagem se recebermos uma resposta.
“Mais ferramentas para derrubar esse comportamento”
Em uma entrevista à ARS, Stenberg disse que estava feliz por seu post – que gerou 200 comentários e quase 400 repostos na quarta -feira de manhã – estava se contorcendo. “Estou super feliz que a questão (esteja recebendo a atenção) para que possamos fazer algo a respeito (e) educar o público que esse é o estado das coisas”, disse Stenberg. “Os LLMs não conseguem encontrar problemas de segurança, pelo menos não como se estivessem sendo usados aqui”.
Esta semana viu quatro relatórios de vulnerabilidade tão equivocados, obviamente gerados pela IA, aparentemente buscando fundos de reputação ou recompensa de insetos, disse Stenberg. “Uma maneira de dizer é que é sempre um relatório tão bom. Phrasered amigável, inglês perfeito, educado, com bons pontos de bala … um humano comum nunca faz assim na primeira escrita”, disse ele.
Alguns relatórios de IA são mais fáceis de detectar do que outros. Um acidentalmente colou o prompt no relatório, Stenberg disse: “E ele terminou com” e faz parecer alarmante “.”
Stenberg disse que havia “conversado com (Hackerone) antes disso” e chegou ao serviço esta semana. “Gostaria que eles fizessem algo, algo mais forte, para agir com isso. Gostaria de ajudar com eles para melhorar a infraestrutura (ferramentas de IA) e nos dar mais ferramentas para derrubar esse comportamento”, disse ele.
Nos comentários de seu post, Stenberg, negociando comentários com Tobias Holdt da empresa de segurança de código aberto XOR, sugeriu que os programas de recompensas de insetos poderiam usar “redes e infraestrutura existentes”. Os repórteres de segurança que pagam um título para revisar um relatório “podem ser uma maneira de filtrar sinais e reduzir o ruído”, disse Holdt. Em outros lugares, Stenberg disse que, embora os relatórios da IA ”não nos afogem, (a) tendência não parece boa”.
Stenberg já havia blogado em seu próprio site sobre relatórios de vulnerabilidade gerados pela IA, com mais detalhes sobre como eles são e o que eles entendem. Seth Larson, desenvolvedor de segurança na residência da Python Software Foundation, adicionada às descobertas de Stenberg com seus próprios exemplos e ações sugeridas, conforme observado pelo registro.
“Se isso está acontecendo com alguns projetos para os quais tenho visibilidade, suspeito que isso esteja acontecendo em larga escala para projetos de código aberto”, escreveu Larson em dezembro. “Esta é uma tendência muito preocupante.”