Projekt cURL rezygnuje z programu wynagrodzeń za zgłaszanie błędów. Decyzja ta jest bezpośrednią reakcją na gwałtowny wzrost zgłoszeń generowanych przez narzędzia oparte na sztucznej inteligencji, które w zdecydowanej większości nie zawierają realnych podatności.
Jak podkreślają opiekunowie projektu, analiza takich raportów pochłania znaczną ilość czasu i zasobów, jednocześnie utrudniając wyłapanie rzeczywistych problemów bezpieczeństwa. W efekcie program, który miał wspierać poprawę jakości i bezpieczeństwa kodu, stał się dodatkowym obciążeniem dla zespołu.
Fala AI-generowanego śmiecia paraliżuje open source’owe projekty
Popularna biblioteka cURL, niezbędna dla milionów aplikacji na całym świecie, zmaga się z problemem, który dotyka również inne projekty open source’owe. Setki raportów błędów trafiające do opiekunów projektu generowane są przez narzędzia AI, które zamiast wspomagać pracę deweloperów, tworzą chaos. Większość z nich zawiera albo fikcyjne problemy, albo banalne obserwacje, które nie mają nic wspólnego z rzeczywistymi lukami bezpieczeństwa.
Strata czasu na sortowanie góry śmieci jest tak duża, że Daniel Stenberg, główny opiekun cURL, publicznie poruszył ten problem rok temu, określając go wówczas mianem: Death by a thousand slops. Niestety, sytuacja zamiast się poprawiać, dramatycznie się pogorszyła. Projekt otrzymuje teraz coraz więcej „śmieciowych” zgłoszeń.
Pieniądz przyciąga boty
Od końca stycznia bieżącego roku cURL zawiesza wypłaty z programu bug bounty. W ciągu lat 87 zgłoszeń błędów podzieliło się nagrodami w łącznej wysokości ponad sto tysięcy dolarów. Program miał zachęcać programistów do poszukiwania podatności i zgłaszania ich odpowiedzialnie. Teraz okazuje się, że stał się również magnesem dla automatycznych systemów, które zalewają projekt raportami bez faktycznej wartości.
Daniel Stenberg wyjaśnia decyzję jasno: projekt pragnie zredukować ilość bezużytecznych zgłoszeń, które wymagają czasochłonnych weryfikacji i odrzutów. „Spędzamy zbyt dużo czasu na obsługę śmieci” – mówi opiekun projektu. Problem zaś tkwi w tym, że niemożliwe jest szybkie odróżnienie rzeczywistego błędu od halucynacji AI. Każde fałszywe zgłoszenie to dodatkowa praca dla niewielkiego zespołu opiekunów.
Ekspercka opinia: pieniądze nie były najważniejsze
Ciekawie do decyzji projektu odnosi się Joshua Rogers – znany badacz bezpieczeństwa, który przed czasem sam wykorzystywał AI do wspomagania swoich analiz. W przeciwieństwie do innych, jednak dokładnie weryfikował wyniki sztucznej inteligencji i dodawał własne spostrzeżenia, zanim cokolwiek zgłaszał.
Rogers uważa, że usunięcie programu wynagrodzeń to doskonały ruch, który powinien był zostać wprowadzony o wiele wcześniej. Według niego, dla rzeczywistych badaczy bezpieczeństwa główną motywacją nie była finansowa korzyść, lecz prestiż i reputacja w branży. Tym bardziej że maksymalna nagroda cURL wynosiła dziesięć tysięcy dolarów – dla kogoś zdolnego znaleźć krytyczną lukę bezpieczeństwa kwota niezbyt znacząca.
Problem z perspektywą globalną
Rogers wyraża jednak zastrzeżenie wobec swojej argumentacji. Dostrzega asymetrię między rzeczywistą wartością, jaką badacze przynoszą deweloperom, a wartością, jaką dla nich ma nagroda. W bogatych krajach taka suma to rzeczywiście śladowe pieniądze. Ale w krajach o niższym poziomie dochodów, każde nawet skromne wynagrodzenie może stanowić znaczące wsparcie finansowe dla badacza.
Decyzja cURL otwiera zatem pytanie o sprawiedliwość procesu: czy usunięcie programu bounty ukarze głównie tych, dla których pieniądze rzeczywiście były motywacją, zamiast zniechęcić masowe tworzenie bezużytecznych raportów przez zautomatyzowane systemy?
źródło zdjęć: Adobe Stock
Może Cię zainteresować:
