Curl采取行动反对浪费时间的AI错误报告

Curl Project创始人Daniel Stenberg受到了AI生成的“ Slop”错误报告的洪水量，并最近引入了一个复选框，以筛选耗尽维护者时间的低富富特价提交。

斯坦伯格说，通过黑客龙制作的每个AI-A-Ass体弱漏洞报告所花费的时间，仅将其视为无效的时间，这与对该项目的DDOS攻击有关。

斯滕伯格援引了一份特定的报告，即“将[他]推高了极限”说通过LinkedIn：“就是这样。

从现在开始，每个声称在Curl中找到了一个错误的Hackerone报告，该错误是使用URL传输数据的命令行工具和库，必须透露是否使用AI来生成提交。

如果被选中，则错误记者可以期待一系列后续问题，要求在卷曲团队花费时间进行验证之前，该错误表明该错误是真实的。

斯滕伯格补充说：“现在，我们立即禁止每位记者提交我们认为AI Slop的报告。”“已经达到了一个阈值。我们实际上是被付出的。

他接着说，该项目从未收到使用AI生成的单个有效的错误报告，其费率正在提高。

斯滕伯格说：“几年前，这类报告根本不存在，而且速度似乎正在提高。”“仍然没有淹没我们，但是趋势看起来不好。”

这些问题并不新鲜。Python的Seth Larson也引起了人们对这些的关注AI SLOP报告早在12月，他说回应他们是昂贵且耗时的，因为从表面上看，它们似乎是合法的，必须通过训练有素的眼睛进行进一步调查，然后才能确认它们实际上是虚假的。

“安全报告说，废物的时间会导致混乱，压力，挫败感，并最重要的是，由于安全报告的秘密性质而产生的孤立感，”拉尔森写。“所有这些感觉都可以增加对开源项目的可能受信任的贡献者的倦怠。

“从许多方面来说，这些低质量的报告应被视为恶意。即使这不是他们的意图，结果是维护者被烧毁，并且更不愿厌恶合法的安全工作。”

现在，我们立即禁止每位记者提交报告我们认为AI Slop的报告...如果可以的话，我们会为他们收取这种浪费的时间

斯滕伯格决定将AI过滤器添加到Hackerone报告中，这是对这种做法的多年沮丧之后的决定。他提出了这个问题早在2024年1月，他说用Google Bard提出的报道，因为当时Gemini被称为“废话”，但更糟糕。

该评论提到的是拉尔森（Larson）在一年后提出的同一观点。

对于Curl和Python（例如Curl和Python）的开源软件项目，问题尤其有害，这在很大程度上取决于少数未付志愿专家的工作以帮助改善它们。

• Microsoft扩展了Copilot Bug Bounty Targets，增加了甚至中度混乱的支出
• 苹果的私人云计算的私密程度如何？您可以测试它以找出答案
• Google Cloud Document AI缺陷（Still）允许数据盗窃，尽管赏金支付
• 三星将Bug Bounty提升为凉爽的百万美元

开发人员来处理这些项目，停留很短的时间，通常可以帮助修复他们报告的错误或其他功能，然后再离开。在撰写本文时，Curl的网站指出，自Stenberg于1998年成立以来，至少有3379人对该项目做出了单独贡献。

Curl提供了赏金奖励，最高为9,200美元，以发现该项目的关键脆弱性，并自2019年以来支付了86,000美元的奖励。

根据Hackerone页面，它在过去的90天内收到了24份报告，但没有导致支出。

生成的AI工具允许低技能的人认识到Bug Bounty程序，可以根据AI生成的内容快速提交报告，希望他们可以兑现所提供的奖励。

但是，斯滕伯格说，不仅是新手和grifters使用人工智能来机会赏金计划那些具有一定声誉的人也正在加入该法案。

这份报告将项目创始人推向边缘的报告是在两天前提出的，是一本教科书AI生成的提交。

它被认为是“发现了HTTP/3协议堆栈中的流依赖性周期的新颖利用，从而导致内存腐败和潜在的拒绝服务或远程代码执行方案。”

但是，最终发现它是指不存在的函数。

斯滕伯格说：“很短的一段时间以来，这听起来几乎是合理的，再加上记者实际上具有适当的“声誉”（这意味着这个人已经报告了并以前有许多报道被审查为罚款。®