Curl combate relatórios de vulnerabilidade gerados por IA que sobrecarregam seus mantenedores

No mundo dos projetos de código aberto, a segurança e a confiabilidade são de suma importância. O curl, uma ferramenta de linha de comando e biblioteca para transferência de dados com URLs, tem enfrentado desafios únicos com o crescimento de relatórios de bugs gerados por IA, muitas vezes chamados de “slop”. Esses relatórios, que geralmente carecem de substância e validade, estão sobrecarregando os mantenedores do projeto e consumindo seus recursos preciosos.

A Frustração de Daniel Stenberg

Daniel Stenberg, o fundador do projeto curl, expressou sua frustração com essa situação crescente. Em um post recente no LinkedIn, ele descreveu o afluxo desses relatórios assistidos por IA como “efetivamente um DDoS”. Stenberg destacou que o projeto nunca recebeu um único relatório de segurança válido gerado por ferramentas de IA, o que reforça o problema que essas submissões geraram [1][2][5].

Novas Medidas para Combater Relatórios Gerados por IA

Para enfrentar esse problema, Stenberg introduziu um novo requisito para todos os relatórios de bugs enviados por meio do HackerOne. A partir de agora, todos os relatórios que afirmam ter encontrado um bug no curl devem revelar se a IA foi usada para gerar a submissão. Ao fazer isso, espera-se que o relator do bug receba uma série de perguntas de acompanhamento exigindo prova de que o bug é genuíno antes de a equipe do curl gastar tempo verificando-o [1][2][5].

Banindo Relatores de “Slop” de IA

Stenberg também anunciou planos para banir relatores cujas submissões sejam consideradas “slop” de IA. Esta decisão reflete a crescente frustração do projeto com a falta de contribuições válidas originadas de relatórios gerados por IA. O limite para tolerar essas submissões foi atingido, e o projeto está adotando uma postura firme contra elas [1][2][5].

Exemplos de Relatórios Comicamente Óbvios Gerados por IA

Alguns relatórios gerados por IA foram comicamente óbvios, como um que incluía sua instrução de prompt: “e faça soar alarmante”. Esse tipo de relatório não apenas desperdiça o tempo dos mantenedores, mas também mina a integridade do processo de relatórios de vulnerabilidades [5].

Conclusão

O projeto curl está adotando uma postura forte contra os relatórios de bugs gerados por IA, enfatizando a necessidade de contribuições genuínas de repórteres humanos. Ao implementar essas novas medidas, o projeto visa proteger seus recursos e manter a qualidade do seu processo de relatórios de segurança.

Para mais informações sobre como enviar relatórios de bugs válidos, consulte as diretrizes do projeto curl no HackerOne. Lembre-se, cada relato válido ajuda a garantir a segurança e a confiabilidade do projeto curl.