O modelo Antrópico Claude Mythos Preview AI é considerado muito perigoso para o público, para dizer o mínimo, então a empresa dá razões pelas quais há apenas acesso limitado a esta sofisticada pesquisa de vulnerabilidades de IA. Usuários e projetos selecionados podem testar o Mythos – incluindo Daniel Stenberg, que mantém a ferramenta de download curl. Mythos se encontrou exatamente uma vez.
Leia mais depois do anúncio
O teste é surpreendente porque, no início do ano, os mantenedores do curl reclamaram de “relatórios de merda” na forma de relatórios de bugs de IA e estavam “cansados” deles há um ano. Nesse ínterim, eles até interromperam o programa de recompensas por bugs no HackerOne, apenas para eventualmente voltar porque o gerenciamento de bugs é melhor do que com o GitHub, por exemplo.
Como parte do projeto Glasswing, Stenberg terá acesso. Após problemas durante a configuração, um terceiro assumiu os testes usando a fonte curl, escreveu Stenberg em um blog.
curl: código bem pendurado
Stenberg ressalta que ele sempre verificou o curl com uma série de ferramentas de IA diferentes e pode – além das ferramentas “normais” de análise de código estático, definir opções seletivas do compilador ou usar fuzzing por anos. Com essas ferramentas, cerca de 200 a 300 bugs foram encontrados nos últimos oito a dez meses e as correções de bugs relacionadas foram incorporadas ao curl. Um grupo de relatórios confirmou a vulnerabilidade e recebeu uma entrada CVE.
Os desenvolvedores também usam ferramentas como Copilot e Augment Code do GitHub para revisar solicitações pull. Esses comentários e descobertas ajudam a melhorar o código e evitar erros de mesclagem. Isso ainda acontece, mas os bots de revisão destacarão problemas que os programadores irão corrigir. O argumento de Stenberg aqui é que as revisões de IA são usadas além das revisões humanas; apenas ajudar e não substituir pessoas. Eles agora estão vendo muitos relatórios de segurança de alta qualidade inundando o projeto, e os pesquisadores de segurança de TI agora estão usando IA de forma completa e eficaz.
As varreduras com Mythos revelaram cinco descobertas no relatório, continuou Stenberg. Ele sempre esperava mais. Ele e sua equipe de segurança passaram várias horas investigando o problema relatado e encontraram uma vulnerabilidade confirmada. Dos outros quatro, três eram falsos positivos – isso foi explicado na documentação da API – e em quatro os programadores chegaram à conclusão de que se tratava apenas de um bug.
Leia mais depois do anúncio
Stenberg gosta de continuar dizendo que as vulnerabilidades de segurança restantes receberão entradas CVE de gravidade “baixa”. Será fechado no curl 8.21.0 no final de junho. Os interessados podem encontrar a classificação e outros detalhes, bem como mais informações do relatório Mythos no blog de Stenberg. No final, Stenberg permaneceu conciliador. A IA melhorou atualmente e é, na verdade, uma ferramenta útil.
(dmk)
