Опенсорсные разработчики умоляют багхантеров не писать отчёты генеративным ИИ

Вопрос недавно поднял в своём блоге разработчик Python Software Foundation Сет Ларсон. Он пожаловался на наплыв в опенсорсных проектах «крайне низкокачественных, мусорных отчётов по безопасности, созданных галлюцинирующими большими языковыми моделями». Эти отчёты выглядят правдоподобно, а на их разоблачение приходится тратить время. Дело в том, что зачастую уязвимостей, которые описаны в таких отчётах, на самом деле не существует. Ларсон предлагает классифицировать подобные отчёты как вредоносные.

О проблеме ещё в самом начале января упоминал автор проекта curl Даниэль Стенберг. Прошёл почти год, но по его словам, он по-прежнему «регулярно и в больших объёмах» получает «помойные ИИ-отчёты» от адресантов, которые частично или полностью автоматизированы. Стенберг говорит, что решительно настроен бороться с этим.

В опенсорсе такие отчёты особенно нежелательны, ведь мейнтейнеры в большинстве случаев занимаются поддержкой проектов на добровольных началах в свободное время.

Ларсон говорит, что пока таких отчётов поступает относительно немного — меньше десяти в месяц, но и это весьма неприятно и даёт повод для беспокойства. Он считает, что в дальнейшем их станет больше и они наводнят ещё больше проектов. Это может привести к выгоранию мейнтейнеров и заставить их бросить заниматься безопасностью в опенсорсе. Сообщество должно действовать проактивно и попытаться снизить потенциальный ущерб. Также одно из решений видится ему в оплате труда мейнтейнеров, что позволит вовлечь в сферу больше людей.

Ларсон призвал багхантеров не присылать отчёты, не проверенные человеком, и не пользоваться генеративным ИИ, потому что на сегодняшний день эти инструменты «не понимают код». А платформы, которые принимают отчёты от багхантеров, он просит принять меры по ограничению создания автоматизированных и мусорных отчётов.