Разработчик cURL, широко используемого инструмента с открытым исходным кодом для работы с сетью, в четверг прекратил свою программу вознаграждений за уязвимости из-за резкого увеличения количества некачественных заявок, многие из которых, предположительно, были сгенерированы искусственным интеллектом. Даниэль Стенберг, основатель и ведущий разработчик cURL, назвал необходимость защиты психического здоровья своей небольшой команды мейнтейнеров основной причиной этого решения.

Стенберг объяснил, что приток этих "шлаковых" заявок перегрузил возможности команды по надлежащей оценке и реагированию на законные проблемы безопасности. "Мы всего лишь небольшой проект с открытым исходным кодом и небольшим количеством активных мейнтейнеров", - заявил Стенберг. "Не в нашей власти изменить то, как работают все эти люди и их шлаковые машины. Нам нужно предпринять шаги, чтобы обеспечить наше выживание и сохранить психическое здоровье".

Решение об отказе от программы bug bounty вызвало дебаты в сообществе пользователей cURL. Некоторые пользователи выразили обеспокоенность тем, что этот шаг, хотя и понятен, может негативно повлиять на общую безопасность инструмента, поскольку устраняет ключевой стимул для внешних исследователей выявлять и сообщать об уязвимостях. Беспокойство связано с тем, что программы bug bounty часто рассматриваются как экономически эффективный способ дополнить внутренние аудиты безопасности, обеспечивая более широкую сеть для выявления потенциальных недостатков.

Эксперты по безопасности отмечают, что рост числа отчетов, сгенерированных ИИ, хотя и потенциально проблематичен, подчеркивает более широкую проблему, стоящую перед проектами с открытым исходным кодом: необходимость эффективно управлять и проверять отчеты об уязвимостях. Доктор Алисса Джонсон, исследователь кибербезопасности в Институте SANS, отметила, что "хотя ИИ может быть полезным инструментом для выявления потенциальных уязвимостей, крайне важно иметь надзор со стороны человека, чтобы отфильтровывать ложные срабатывания и гарантировать, что сообщаемые проблемы действительно могут быть использованы". Большой объем отчетов, сгенерированных ИИ, может привести к усталости от оповещений, явлению, хорошо задокументированному в медицинской сфере, когда чрезмерное количество тревог может десенсибилизировать людей к реальным чрезвычайным ситуациям, потенциально задерживая критические ответы.

Стенберг признал обоснованность опасений относительно безопасности, но подчеркнул ограниченность ресурсов команды. Он также заявил, что команда будет активно банить и публично высмеивать людей, которые отправляют легкомысленные или явно ошибочные отчеты, сигнализируя о политике нулевой терпимости к заявкам, отнимающим время. "Мы забаним вас и высмеем публично, если вы потратите наше время на дерьмовые отчеты", - написал Стенберг в отдельном посте.

В настоящее время проект cURL изучает альтернативные методы поддержания безопасности, включая расширенные внутренние проверки кода и сотрудничество с доверенными исследователями безопасности. Долгосрочное влияние прекращения программы bug bounty на безопасность cURL еще предстоит увидеть, но этот инцидент подчеркивает растущую необходимость для проектов с открытым исходным кодом адаптироваться к вызовам и возможностям, предоставляемым искусственным интеллектом.