Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60394
curl такая дыра!
Есть что то по аналогам? Чтобы использовать как библиотеку в программе?
Не придумали.
Эх :(
в нормальных языках сходить по http(s) можно и без курла
> curl такая дыра!Вообще-то у curl с безопасностью - сильно выше среднего по больнице. И разработчик грамотный и ответственный.
> Есть что то по аналогам? Чтобы использовать как библиотеку в программе?
Вооон, NPM используй из соседней новости, пакет "everything". Следующие эн лет он займется скачкой миллионов пакетов - и на мерзких хаксоров не останется бандвиза. А потом у тебя кончится место при попытке скачать весь интернет - и хаксоры уже совершенно точно обломаются. Только представь рожу хакера когда на попытку залить троян ему ENOSPC вываливается! "Опередили, гады!"
при сборке можно отключить поддержку ненужного, a до сборки можно пройтись статическим анализатором кода. Можно еще много чего сделать - это ж опенсорс, который все хотят.
Могли бы пользоватся нормальным curl-rust на безопасном, но нет, обязательно нужно давится дырявой сишной реализацией libcurl
Вы хотя бы посмотрели для начала что этот ваш curl-rust просто обертка библиотеки libcurl
Не надо формировать ошибочные мнения у общественности
QtNetwork, libsoup, libwgetНаверняка есть дофига еще менее известных...
На самом деле ничего нового, это было и до AI.
Уже давно в ящик Security Bug Bounty сыпались письма на корявом английском с пространственными описаниям кОтострофической проблемы и копипастами каких-то скриптов из инета.
Ну и обязательной припиской "вы должны мне кучу денег!!111" в конце.
Просто с "AI" это стало еще проще.
Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата, которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"
Не, фаззер это совсем другой уровень. Если реально есть дыра, потому что кто-то N лет назад написал код без проверок входных данных, то это повод исправить. Но если форматом не пользуются уже 25 лет, то нужно спросить почему его поддержку не выкинули еще 10 лет назад...А тут вообще просто комбинация наглости и абсолютного непонимания происходящего.
Ты ему уточняющий вопрос, а он тебе еще два абзаца несвязного бреда. Как вспомню, аж бесит!
вот у меня где-то так до... претензии от секурити отдела и выглядят зачастую.
задумался...
> Вариация: "Я фаззером нашёл страшную дыру в коде загрузки файлов формата,
> которым уже 25 лет никто не пользуется. Страшно! Страшно! Срочно пилите патч!"Почти так и нашли фееричную дыру в WMF. И, таки, это другой случай. Всеми забытый код, в всеми забытой либе, радостно запускает хаксорский код. Даже если о фиче все и забыли, и форматом почти не пользуются. А вот либа - и вулн - остались!
Если форматом никто не пользуется, но файл в этом формате можно подсунуть (например, подменив расширение файла), то это вполне себе уязвимость. Сталкивался с таким в imagemagick.
Определение типа файла по расширению - это фича признанных экспертов в программировании и информационной безопасности.
Это далеко не самая дикая тупость в том прекрасном коде :-)
KDE Plasma и Гном так делают. Раньше Гном определял по содержимому, а потом перестал.
Всё открывалость в текстовом редакторе?
А по другому как в бреде из 60 годов прошлого столетия под названием "файловыюая система" и в этом самом юниксе где "всё есть файл" ?Если пытаться парсить содержимое - то приколов с безопасностью будет не меньше.
Ну это ещё мозгов разобраться хватило.А представляете, что сейчас в местной диссертационной среде и около творится, с учётом того, что там уже было?
Даа, Корчеватель нервно курит в сторонке
Во-первых, потери невелики - эти опусы и раньше никто не читал. Во-вторых, что значит "местной"? Это общемировая тенденция. Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.
> Во-первых, потери невелики - эти опусы и раньше никто не читал.
> Во-вторых, что значит "местной"? Это общемировая тенденция.
> Если читали монографии по прикладной математике последние лет 10, видели, какой там бред.КМК если кто всерьез попросит AI нагенерить ему реферат^W курсач^W да вообще, диплом - может это и будет выглядеть убедительно, но вот тест на плагиат пожалуй может с треском провалить.
В препринтах? Там гораздо большая проблема - это сумасшедшие и альтернативщики, а не AI)
Теперь альтернативщики и изобретатели вечных двигателей смогут выглядеть правдоподобно с меньшими усилиями.
Ожидание: ИИ вместо человека решает научные проблемы и управляет звездолётами
Реальность: ИИ кормит разраба курла голубцами с гогном
> Реальность: ИИ кормит разраба курла голубцами с гогномКормит не ИИ, а вполне живой человек.
ИИ здесь это Иван Иваныч
От каждого по возможности - каждому по потребности. Большего не заслужили)
Я не совсем понимаю, что означает "77 как не связанные с безопасностью ошибки". Эти 77 отчётов (что составило 66% от общей массы) были вообще невалидными или они были про реальные ошибки, но эти ошибки были просто багами, а не уязвимостями?Если второе, то называть их "совершенно бесполезными" некорректно.
Весьма вероятно, что это были просто "переосмысленные" issues из багтрекера проекта.
Ну откуда ИИ знать настоящие баги? Он же код не анализировал.
писать умеешь а счет еще в школе не проходили?
64+77 = 141
141/415 = 34%
100 - 34 = 66%
Ты же просто развернуто повторил то, что я написал в скобках в своём вопросе. Но вопрос вовсе не об этом.
Не общайся с ним, это ИИ
>Таким образом 66% всех отчётов не содержали каких-либо полезных сведений и только отняли у разработчиков время, которое можно было потратить на что-то полезное.Неправильно мыслят. Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?
Так как ИИ генерируют отчёты только на основе уже известных данных, то польза от них в любом случае стремится к нулю.
Это либо уже известные дыры, либо несуществующие.
Что же известные дыры сам разработчик не нашёл? Чтшьже известные дыры сами баг-репортеры не нашли? А потому что с ИИ и AFL всё лучше. Неплохо бы скрестить ИИ с AFL по типу FunSearch...
> Что же известные дыры сам разработчик не нашёл?Кто сказал?
На то они и известные, что уже закрыты.
На то они и известные, что для них правила есть. Но это не значит, что они закрыты.
> Правильный майндсет такой: какой процент из этих 34% был создан с помощью ИИ-инструментов?Вот посчитай и расскажи, майндсеттер.
Очевидным следующим шагом будет обработка таких репортов с помощью того же AI.
А потом пытаться понять о чем они там наобщались и пришли к выводу что люди тупые.
Вот тоже подумал. Вместо нытья просто генерить WONTFIX с пояснением от того же ИИ.
> подменяя реальные проблемы качественно выглядящим мусорным содержимым.Всё, что нужно знать о современных ИИ.
Нет никакого ИИ. Одни ЛПП и ИБД)
AI vs. IT. Так вам! Наделали сами себе на свои головы.
Решается очень просто. Хакир оставляет залог в 10% вознаграждения но не больше тыщи баксов.Ну или можно очень хитрожопный договор заключать письменный с последствиями за ложные отчёты.
Ну и отправка ложных отчётов сгенерипрванных ИИ подпадает под "нарушение работы компьютерных систем" и в плоть до уголовной ответственности.
А не будет ли тогда выгоднее пойти на чёрный рынок, где залогов не требуют?
Лол, ну пускай засыпят чёрный рынок "описаниями уязвимостей" сгенерированными ИИ. Вместо рабочих эксплойтов, ага.
Всякие киберполиции спасибо скажут.
А реальные хакиры может и вычислят по айпи незатейливых бизнесменов да набьют что там полагается бить.Залог же - это банальность, так многие фриланс площадки работают.
Если вознаграждение 10000$ и у тебя на руках работающий эксплойт, а не "описание возможной уязвимости" то тыща баксов это ничто.Но я думаю и залог в 10$ обрежет всю эту вакханалью на корню и навсегда.
Сразу видно что не понял о чем речь. Речь не про автогенеренные отчеты, а про реальные уязвимости которые кто-то нашел. По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостях, поэтому если не делать возможность посылания этих отчетов максимально безгеморным, то их тупо никто посылать не будет, а либо забьют, либо просто продадут или распространят бесплатну инфу об уязвимостях людям куда более благодарным.Почему балготворительность? Ну потому что все эти обещания вознаграждений за их нахождения (это если такие обещания вообще есть, некоторые ничо не обещают и еще тебя засудить могут попытаться за то что ты ковырялся в их софте), они, как говорят буржуи, not legally binding. А по факту я не помню случая чтобы компании не надо было выкручивать яйца чтобы она даже обещанное дала, а если им дать еще возможность твои деньги себе захапать, лол. А тут тем более что опенсорс, все принципиально на добровольной основе.
В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать? Нанимайте аудиторскую фирму с настоящими людьми за настоящие деньги. Не хотите платить и хотите чтобы коммьюнити проверяло ваш софт на добровольной основе? Будте готовы к тому что это надо будет все перепроверять самим. Дареному коню в зубы не смотрят. А желание и рыбку съесть и на CoC сесть вызывает только смех.
Не занимается человек благотворительностью, об этом и в статье написано, что речь идет про багхантинг за вознаграждение. И я прямо сильно сомневаюсь, что там какой-то бедный паренек на помойке собрал себе комп, чтобы поковыряться в сурцах курла ради человечества, и у него совсем нет лишней сотки/десятки долларов залога.
> По сути человек занимается благотворительностью, посылая вам отчеты об уязвимостяхРечь о охоте за вознаграждением, а не о благотворительности.
Чел денег хочет.> В общем, хотите чтобы сразу было все для вас готово и никаких усилий не надо было вкладывать?
Вот придурки с ИИ отчётами так и хотят.
И да, фриланские площадки залог организовывают тому кто ВЫПОЛНЯЕТ какую-то работу, в качестве некоторой гарантии что даже если кинут, то часть оплаты уже прошла. То есть тому кто ищет эксплойты надо залог давать, лол.
Нет.
Именно залог со стороны исполнителя.
Зависит от платформы и заказа.То что заказчик должен иметь средства для выплаты - то банальность. Но и это не всегда исполняется. Всякое бывает.
Ну, добро пожаловать в новый мир. Может наконец-то дойдет, что критический для безопасности софт нужно писать так, как делают серьезные дяди - с приминением формальной верификации. При наличии формального доказательства этими сгенерированными отчетами можно было бы подтираться, но у нас тут лучшие практики сишечной разработки, где корректность определяется "на глаз" и уверенным быть не в чем нельзя - поэтому сиди и читай этот мусор.
Ой, да у нас тут эксперт. Словами какими кидается и терминами. Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.
> Уймись, твоя "формальная верификация" и "серьёзные дяди" ещё никого от уязвимостей в коде спасти не смогли.Как скажешь.
Вообще-то смогли. Например, такого лба как ты, когда самолёт на землю не упал ;)
Ты хотел написать "упал" при том 2 раза?
Для формальной верификации кода микроядра L4 в 5000 строк кода на С (или как-то так) было написано 200 000 строк кода верификации.Уж не знаю, все ли они были написаны вручную или там что-то генерируется.
Но в общем удачи тебе)
> Но в общем удачи тебе)Он и так удачлив. Это не ему формально верифицировать чей-то код.
Его долг — лежать на диване и объяснять другим, как правильно делать.
>лежать на диване и объяснять другим, как правильно делать.Да он лошара! Для этого AI-ботов и придумали! Теперь уже моно просто лежать на диване и _ничего_ не делать! Светлое будущее наступило! :)
Добавляю. Написана верификация на языке Isabelle/HOL.Files 2436
Lines 1336767
Blanks 114572
Comments 36636
Lines of Code 1185559Те 1.2 млн сгенерированного кода доказательств.
Кода доказательств (руками людьми) там 15000 на 8700 строк кода С.
Те на каждую строчку кода 2 строчки кода формальной верификации.
Трудозатраты - 20 человеко-лет на верификацию (суммарно, включая автоматизацию доказательств, фреймворки, библиотеки и т.п.), 11 человеко-лет чисто на доказательство.
Итого, 5 строчек кода в день на С (полный рабочий день) можно верифицировать.
Или в 50-100 раз меньше (медленнее) чем пишет программист кода на С.
Срочно всем верифицировать!
А могли бы сразу на АДЕ писать и не мучиться.
Ariane 5, Ariane 5, Ariane 5 ! Это комарик такой :-)))Но таки да - еЯ угробила полностью верифицированная Ada :) а это вам не дыряшковый Си какой нить! :)
Все ошибки сертифицированы и верифицированы.Но два раза писать одну программу ненужно.
> Те 1.2 млн сгенерированного кода доказательств.А это счастье кто-то верифицировал? И не окажется так что в верификаторе - баги были? :)
Quis custodiet ipsos custodes?!
Классико :)
Это хороший вопрос. Они верифицировали и саму корректность соответствия программы С кодом и их формальной моделью, и ещё что-то там с компилятором.Те, в целом да. Понятия не имею как. Я посмотрел код - это такая жесть. Как там что-то можно понять и верифицировать и не наделать багов? Хуже ассемблера.
У них есть кое какие предложения. Скорее всего что сам Isabelle работает корректно. Но я думаю он сам был проверен раньше.
И что железо тоже работает корректно (не знаю что это значит).
Похоже, ты - не читатель. А человек же специально оговорку сделал "критический для безопасности софт".
Хорошая идея, предлагаю вам реализовать http-клиент с поддержкой всего многообразия (включая http/2) с формально верифицированным кодом.Лет через 20 приходите
20 лет это эксперты, ученые на full time. Те они этим занимаются скорее всего профессионально.Простой Вася не сделает и за 500 лет, и за 10 000 лет. У них даже научная школа или направление появилось по формальной верификации программ.
Мне кажется тут есть простой способ фильтрации: требовать unit-теста демонстрирующего баг. Например:> Попытка уточнить как исследователю удалось обойти присутствующую до вызова strcpy явную проверку размера и как размер буфера keyval оказался меньше размера прочитанных данных
Если исследователь считает, что проверку обойти возможно, значит он может вызвать функцию со специально сформированными аргументами так, чтобы проверка была бы обойдена. unit-test с демонстрацией в студию!
возврат физического наказания за косяки - самое действенное решение.
Особленно в среде мaкaк с их as is софтом, даже в коммерческом исполнении.
Начни с себя (С)
И давай без полумер, было любит по-жестче! :)
Чёрным Властелином? Он уже помер, остался один пластелин.
Ну и сделает тебе рандомай- ой простите, ИССКУСТВЕННЫЙ ИНТЕЛЛЕКТ!!! unit-тест на основе предыдущих, сносно относящийся к проблеме
что-нибудь слышал про программирование? там, например, бывают трудноуловимые баги, доказанные уязвимости в криптографиях и т.д.
вот, пожалуйста/* unit test */
#ifdef CURL_VERSION
return ERR
#else
return 0
#endif
Люди всегда боролись за высокий урожай, разные селекции, всевозможные *циды и наконец прямое вмешательство в гены. Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает.
Лет 20 назад казалась смешной реклама (вроде где-то в Европе) "покупайте наши червивые яблоки", мол значит натуральные. Потом как-то свыклось, забылось...Люди всегда стремились облегчить себе жизнь, придумывали инструменты, станки, автоматы, роботов и наконец подошли к созданию какой-то формы ИИ.
Тоже всё логично, прогресс и всё такое. Но проблема всё та же. Задача решается тупо "в лоб". Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену.
Через пару лет будут цениться тексты с ошибками типичными для людей, аля лейбл "Brain made". Возможно будет смешно, а потом как-то забудется... Конечно, зачем всякой ерундой страдать, когда все усилия будут направлены, чтобы среди развалин вырастить хотя бы немного еды.
> Вроде всё логично, но оказалось, что просто решали задачу "в лоб" получая "здоровое", толком даже не разобравшись, что это самое "здоровое" означает.Вполне разобрались, просто бизнес живёт по своим законам. Компания Monsanto очень много бабла вложила в проплаченные статьи в научных журналах, "доказывающие" безвредность её продукции (и тут речь больше не про ГМО, а про ядохимикаты против вредителей, ради которых это ГМО и затевалось).
Развитие разума остановить не получится.
Хочешь Эболу вылечить - изволь вмешаться там где подлый вирус вмешивается.
Ну или пможешь ждать например год пока вирус не покиннт твои яйца.
Был ли использован научный потенциал?
Конечно, безусловно, и в паре с мозгами и опытом людей показывают в 5 раз лучше эффективность чем западный(е) аналог(и).
Ну а там, коли-ежели попадешь в ситуацию выбора тебя не заставляют лекарства жрать.
Можешь просто умереть с высоким шансом.
> Можешь просто умереть с высоким шансом.Можно, как во Франции, пожрать лекарств и с высоким шансом умереть (доказательная медицина, хлорохин при ковиде).
Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма не пользу чудодейственного парашюта.
У французов вообще странный фетиш на мусор и крыс.
Того и гляди чума к ним вернется.
И клопы.
Хрустят, как багет, но в отличие от него, абсолютно бесплатны.
> Да можно и без парашюта прыгнуть и выжить, вот только шансы не разбиться весьма
> не пользу чудодейственного парашюта.Чего-чего? Я почему-то думал что с парашютом шансы разбиться намного ниже. Но добрый аноним всегда подскажет леммингам как правильно выпилиться.
Ох лол, это же просто опечатка. Просто залетная мысль была про аэро костюмы в которых с гор прыгают.
Типа такого. Эх надо писать пост в один присест.https://www.youtube.com/watch?v=-C_jPcUkVrM&pp=ygUSanVtcCBmc...
> Толком не разобрались что значит быть людьми, а уже "почти нашли" людям замену.Ну, вообще-то как бы и не стоит задачи "разбираться, что значить быть людьми" или "заменять людей". Стоит задача устранить работников на дядю.
Эээ, не подсказывайте им! А то они не только уязвимости в курле майнить будут, но и в медицину пойдут, представьте сколько денег надо будет заплатить хозяину ИИ за найденные "уязвимости" в теле.
Как будто живые сотрудники с этим плохо справляются.
Как говорят американские врачи: "сколько бы у вас ни было денег — вы отдадите нам их все".
Какие американские врачи это говорили?
У него в голове голоса врачей постоянно такое говорят: "Деньги, деньги давай!"
Офигеть, это же закон Гудхарта - "когда мера становится целью она перестаёт быть хорошей мерой"
Мы то думали, что ИИ уконтропупит человечество по сценарию фильма терминатор, а оказавается человечество просто заболтают до смерти :)
Уконтропупит, не волнуйся, просто подожди, когда военные до ей доберутся. Про Станислава Петрова уже забыли?
В смысле - когда? Военные это всё спонсируют.
Проблемы из-за подготовленных AI-инструментами отчётов о чём угодно.Недавно был скандал, судья вписал бессмысленный ии бред в приговор. Смысл тот же.
Эти отчёты сами по себе не подготавливаются. Их "делает" ферма индусов. У них даже есть официальные решения для энтерпрайза, с подпиской и блэкджеком, где находят подобные уязвимости и получают баунти.
Раньше они пугали обычных юзеров попапами, но тут подвернулась гениальная идея - во главе огромных компаний сидят абсолютно такие-же обычные юзеры!
Мусорные отчёты уязвимостей это весь т.н. "infosec". Запугивание мнимыми угрозами безопасности и изображение бурной деятельности по их устранению стали уже нормой в IT. На этом создана целая индустрия техно-шарлатанства.
Скажи спасибо императивным язычкам и в целом фон неймановскому мракобесию, не допускающим автоматической верификации.
Ты это пишешь на "фон неймановском" железе, на софте сделанном на "императивных язычках"(r) а не на своей "автоматически верифицрованной" палке-копалке :)Фон Нейман - сделал. Императивщики - сделали.
Ты - пос***л на форуме.
Классика жанра: "Ах Моська! ..."(С) :-)
"попытка уточнить ... привела к получению подробных, но не несущих дополнительной информации, пояснений, которые лишь разжёвывали очевидные общие причины возникновения переполнения буфера, не связанные с конкретным кодом Curl"AI обучался на лучших примерах индийского тех-саппорта?
Теперь нужен другой AI, который будет фильтровать такие репорты, примерно как спам в почте.
Да.
И кто первый сделает - озолотится.
Это по опыту создания анти спам дважка для e-mail 20 лке назад.Кстати если AI заставить переписываться друг с другом ... Ынтернетам придёт ***зда :(
Надо готовить надпись над заведением: "Только для людей!" :)))
Ответ Вам и предыдущему коллеге:Коллапс искусственного интеллекта - деградация модели искусственного интеллекта (ИИ), возникающая в результате обучения на искусственных данных, сгенерированных самим ИИ.
До финиша 8 обычно тактов такого обучения. Потом или полный вздор, или:
Галлюцинация ИИ - вымышленный ответ бота, не имеющий отношения к действительности.
Нейросети и ИИ это совершенно разные вещи. Но тем не менее нейросети называют ИИ. Происходит подмена понятий, типичная современная ложь называемая "повестка". А значит это все сознательная диверсия.