Vlákno názorů k článku Vývojáři jsou zahlcení: AI slop mění ekonomiku bezpečnosti od ITFUN - Možno riešením by bolo, aby dotyčný ktorý nahlasuje...

Možno riešením by bolo, aby dotyčný ktorý nahlasuje chybu, by mal spraviť aj funkčný exploit, aby dokázal, že sa jedná o skutočnú chybu. Problémom však je to, že keď už niekto má funkčný exploit, tak sa môže zvysoka vykašľať na oficiálnu odmenu a môže to skúsiť strelit/predať na darkwebe.

Aj ja pri práci v programovaní používam AI, kde neustále promptujem to, aby som mal čo najefektívnejší kód - a celkom dobre to funguje - dá sa pritom veľa naučiť. Avšak, posielať priamo výstupy z AI a nahlasovať tie AI výstupy pre bezpečnostný tím je na hanbu na 100 rokov, pretože to iba ukazuje lenivosť a neschopnosť nahlasujúceho sa poriadne ponoriť do problematiky.

Aj, ja som nahlasoval chybu v jednej open source knižnici, kde som dva dni skúšal ručne nájsť príslučnú funkciu, ktorá v novej verzii nebola a áno skúšal som to aj s AI a aj ja sám. Nakoniec som chybu nahlásil. Ale v mojom prípade som sa s tým trápil dva celé dni, kým som to nahlásil.

Tohle neřeší vůbec nic. K halucinované chybě může přijít i halucinovaný exploit, stejně to musí někdo ověřit.

Suhlasim.
Funkcny, standarizovany exploit, ktory sa da automatizovane testovat v standarizovanom, idealne virtualizovanom prostredi. Padlo to? Vies spustit vlastny kod? Leakuju data ktore nemaju? True or false.

Nelze. Můžete mít exploit při konkrétní konfiguraci. Fajn, dovolíte v automatizovaném testovacím prostředí, aby exploit obsahoval config.

V tu chvíli se na Vás sesype hromada AI slopu na téma chybnej config (třeba pokud celý PAM nahradíte /bin/true ) vede k exploitu, a jsme tam, kde jsme byli.

Na druhej strane, ked najdes zranitelnost este sa na nu nemusi dat spravit funckny exploit... ale v kombinacii ineho prostredia, inej kniznice, pouzitia alebo v kombinacii s inou chybou moze byt aktivne zneuzivany.

Yep. To je další problém. Může si projekt dovolit ignorovat hlášení bez exploitu? IMHO ne, určitě ne ve chvíli kdy je hlášená zranitelnost potenciální arbitrary code execution a podobně.

I na zjevnou chybu v kódu je obtížné napsat 100% funkční syntetický test, který by demonstroval, že tam chyba je, a po opravě ukáže, že už není.
Crash se projeví jen u několika uživatelů z milionu za obskurních podmínek.

Nedokonalý fix obvykle způsobí, že se chyba projevuje s ještě menší pravděpodobností a zreprodukovat uměle už pak nejde vůbec.