开源项目淹没在人工智能撰写的错误报告中
由人工智能模型生成的软件漏洞提交开创了“开源安全报告的新时代”——维护这些项目的开发人员希望漏洞搜寻者能够减少对机器学习助手生成的结果的依赖。
Python 软件基金会驻场安全开发人员 Seth Larson 在一次会议中提出了这个问题博客文章上周,敦促报告错误的人不要使用人工智能系统来寻找错误。
“最近我注意到开源项目中质量极低、垃圾邮件和 LLM 幻觉的安全报告有所增加,”他写道,并指出Curl 项目的类似发现一月。“这些报道乍一看似乎是合法的,因此需要时间来反驳。”
拉尔森认为,低质量的报告应该被视为恶意报告。
似乎是为了强调这些担忧的持续存在,一个 Curl 项目错误报告12 月 8 日发布的文章显示,在维护者 Daniel Stenberg 提出这个问题近一年后,他仍然面临着“AI 问题”——并浪费时间与可能部分或完全自动化的错误提交者争论。
为了回应错误报告,Stenberg写道:
垃圾邮件、低级在线内容早在聊天机器人出现之前就已存在,但生成式人工智能模型使生成这些内容变得更加容易。结果就是污染新闻学,网络搜索,当然还有社交媒体。
对于开源项目来说,人工智能辅助的错误报告尤其有害,因为它们需要安全工程师(其中许多是志愿者)的考虑和评估,而安全工程师的时间本来就很紧迫。
拉尔森告诉登记册虽然他看到的低质量人工智能错误报告相对较少——每个月不到十个——但它们代表了众所周知的煤矿里的金丝雀。
他警告说:“无论 Python 或 pip 发生什么,最终都可能会在更多项目中或更频繁地发生。”“我最担心的是孤立处理此问题的维护人员。如果他们不知道人工智能生成的报告很常见,他们可能无法在浪费大量时间在虚假报告上之前识别发生了什么。浪费宝贵的志愿者花时间做一些你不喜欢的事情,最终却一事无成,这是让维护人员精疲力尽或让他们远离安全工作的最可靠方法。”
拉尔森认为,开源社区需要走在这一趋势的前面,以减轻潜在的损害。
“我对于‘更多科技’能否解决问题犹豫不决,”他说。“我认为开源安全需要一些根本性的改变。它不能一直由少数维护者来完成这项工作,我们需要对这些类型的开源贡献进行更多的规范化和可见性。
“我们应该回答这个问题:‘我们如何让更多值得信赖的个人参与开源?’答案之一是为人员配置提供资金——例如我自己通过阿尔法-欧米茄— 捐赠就业时间的参与是另一回事。”
虽然开源社区正在考虑如何应对,但拉尔森要求错误提交者除非经过人工验证,否则不要提交报告,并且不要使用人工智能,因为“当今的这些系统无法理解代码”。他还敦促代表维护人员接受漏洞报告的平台采取措施限制自动或滥用的安全报告创建。®
关于《开源项目淹没在人工智能撰写的错误报告中》的评论
暂无评论