AI द्वारा बनाया गया curl सुरक्षा रिपोर्ट

 (daniel.haxx.se)
1 पॉइंट द्वारा GN⁺ 2024-01-04 | 1 टिप्पणियां | WhatsApp पर शेयर करें

बग बाउंटी

  • बग बाउंटी सिस्टम में हैकर्स को सुरक्षा समस्याएँ रिपोर्ट करने पर वास्तविक धनराशि इनाम के रूप में दी जाती है.
  • कुछ लोग source code में patterns खोजते हैं या बुनियादी security scanner चलाने के बाद बिना अतिरिक्त analysis के नतीजे रिपोर्ट कर देते हैं और इनाम की उम्मीद करते हैं.
  • बाउंटी प्रोग्राम चलाने के कई वर्षों में बेकार रिपोर्टों का अनुपात कोई बड़ी समस्या नहीं रहा, और अधिकांश को आसानी से पहचानकर नज़रअंदाज़ किया जा सका.
  • अब तक बग बाउंटी के रूप में 70,000 USD से अधिक का भुगतान किया जा चुका है, और 415 vulnerability reports में से 64 वास्तविक सुरक्षा समस्याएँ साबित हुईं.

बेहतर कचरा, और भी बुरा

  • अगर रिपोर्ट ज्यादा बेहतर दिखे और उसमें कुछ ठोस बिंदु होने का आभास हो, तो उसकी जाँच करने और उसे खारिज करने में और अधिक समय लगता है.
  • सुरक्षा रिपोर्टों की समीक्षा इंसानों को समय लगाकर करनी पड़ती है और उनके अर्थ का मूल्यांकन करना पड़ता है.
  • बेकार रिपोर्टें प्रोजेक्ट की मदद नहीं करतीं, बल्कि productive काम से developers का समय और ऊर्जा छीन लेती हैं.

AI-जनित सुरक्षा रिपोर्ट

  • AI बहुत से अच्छे काम कर सकता है, लेकिन उसका इस्तेमाल गलत कामों के लिए भी हो सकता है.
  • AI का उपयोग सुरक्षा समस्याएँ खोजने और रिपोर्ट करने में उपयोगी तरीके से किया जा सकता है, लेकिन अभी तक ऐसा कोई अच्छा उदाहरण नहीं मिला है.
  • इस समय उपयोगकर्ता LLM का इस्तेमाल करके curl code का analysis कर रहे हैं और उसके नतीजों को security vulnerability reports के रूप में जमा करने में लगे हुए हैं.

AI कचरा पहचान

  • रिपोर्ट करने वाले लोग हमेशा अंग्रेज़ी में पूरी तरह दक्ष नहीं होते, इसलिए कभी-कभी उनके इरादे को तुरंत समझना मुश्किल हो सकता है.
  • कभी-कभी रिपोर्टर AI या अन्य tools का उपयोग अपनी बात व्यक्त करने या अनुवाद में मदद के लिए करते हैं.
  • केवल इतना कि किसी टेक्स्ट का कुछ हिस्सा AI या इसी तरह के tools द्वारा बनाया गया है, अपने-आप में तुरंत समस्या नहीं है.

प्रदर्शन A: code change का खुलासा

  • 2023 की शरद ऋतु में CVE-2023-38545 के public disclosure की अग्रिम घोषणा की गई.
  • समस्या की घोषणा से एक दिन पहले, एक उपयोगकर्ता ने Hackerone पर एक रिपोर्ट जमा की: Curl CVE-2023-38545 vulnerability code change इंटरनेट पर public हो गया है.
  • उस रिपोर्ट से AI-स्टाइल hallucination की गंध आती थी: ऐसा कुछ गढ़ना जिसका वास्तविकता से कोई संबंध न हो.
  • उपयोगकर्ता ने बताया कि इस समस्या को खोजने के लिए उसने Google के generative AI Bard का उपयोग किया था.

प्रदर्शन B: buffer overflow vulnerability

  • यह मामला कम स्पष्ट था और बेहतर तरीके से तैयार किया गया था, लेकिन फिर भी hallucination से बाहर नहीं निकल पाया.
  • 28 दिसंबर 2023 की सुबह, एक उपयोगकर्ता ने Hackerone पर रिपोर्ट जमा की: WebSocket handling में buffer overflow vulnerability.
  • रिपोर्ट विस्तृत थी, ठीक-ठाक अंग्रेज़ी में लिखी गई थी, और उसमें एक proposed fix भी शामिल था.
  • कई सवाल-जवाब और hallucination के बाद उसी दिन दोपहर तक यह स्पष्ट हो गया कि यह कोई वास्तविक समस्या नहीं थी, इसलिए इसे issue नहीं माना गया.

ऐसे रिपोर्टरों पर प्रतिबंध

  • Hackerone में ऐसा कोई स्पष्ट फीचर नहीं है जो किसी प्रोजेक्ट के साथ आगे के communication पर रोक लगा सके.
  • जब किसी issue को valid नहीं माना जाता, तो researcher की "reputation" घटती है, लेकिन यदि यह किसी एक प्रोजेक्ट में सिर्फ एक बार हो, तो बदलाव बहुत छोटा होता है.

भविष्य

  • समय के साथ इस तरह की रिपोर्टें और आम होती जाएँगी, और हम AI संकेतों को बेहतर ढंग से पहचानना तथा उनके आधार पर रिपोर्टों को नज़रअंदाज़ करना सीख सकते हैं.
  • जब AI का उपयोग सही कामों के लिए किया जा सकता है, तब यह एक दुर्भाग्यपूर्ण स्थिति है.
  • मुझे विश्वास है कि भविष्य में AI का उपयोग करके वास्तव में काम करने वाले tools सामने आएँगे, और सुरक्षा समस्याएँ खोजने के लिए AI का इस्तेमाल अपने-आप में बुरा विचार नहीं है.
  • यदि इसमें बहुत थोड़ी-सी (बुद्धिमान) मानवीय जाँच जोड़ दी जाए, तो ऐसे tools का उपयोग और उनके परिणाम कहीं बेहतर हो सकते हैं.

चर्चा

  • Hacker news

क्रेडिट

  • इमेज: Haider Mahmood by Pixabay
  • AI
  • cURL and libcurl
  • hackerone
  • Security

GN⁺ की राय

  • AI तकनीक की प्रगति सुरक्षा क्षेत्र में भी नई चुनौतियाँ और अवसर ला रही है. AI सुरक्षा कमजोरियाँ खोजने में मदद कर सकता है, लेकिन फिलहाल गलत रिपोर्टों की वजह से यह अक्सर developers का समय बर्बाद करता है.
  • सुरक्षा समस्याओं की जल्दी पहचान और समाधान software की सुरक्षा बनाए रखने के लिए बहुत महत्वपूर्ण है. लेकिन AI-जनित रिपोर्टों की बढ़ती संख्या के साथ, इन्हें प्रभावी ढंग से संभालने के लिए नए approaches की आवश्यकता है.
  • यह लेख AI का सुरक्षा क्षेत्र में गलत उपयोग कैसे हो सकता है, इसके वास्तविक उदाहरण देकर AI तकनीक के जिम्मेदार उपयोग और मानवीय निगरानी के महत्व पर ज़ोर देता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-01-04
Hacker News टिप्पणियाँ
  • Hacker News टिप्पणियों का सारांश:

    • LLM (बड़े भाषा मॉडल) के एक खास लहजे पर राय:

      यह ठीक है कि LLM की एक ऐसी खास टोन हो जो किसी रोबोट बटलर जैसी लगे, लेकिन चिंता इस बात की है कि लोग खुद LLM की तरह बोलना शुरू कर दें।

    • LLM द्वारा बनाई गई curl-संबंधित सुरक्षा भेद्यता रिपोर्ट पर राय:

      पहले लगा कि यह पहले देखी गई सामग्री की पुनरावृत्ति है, लेकिन बाद में पता चला कि यह किसी दूसरे LLM द्वारा बनाई गई नकली रिपोर्ट थी।

    • LLM और bug bounty program को लेकर चिंता:

      LLM द्वारा bug bounty program में भेजी जाने वाली नकली रिपोर्टें इन प्रोग्रामों को चलाना कठिन बना सकती हैं। संभव है कि इन्हें अधिक सख्ती से प्रबंधित करना पड़े ताकि केवल वास्तविक लोग और security researcher ही इसमें भाग ले सकें।

    • LLM की कम लागत के मुकाबले engineering time की बर्बादी पर चिंता:

      चिंता यह है कि LLM बहुत कम लागत पर बड़ी मात्रा में मूल्यवान engineering time बर्बाद कर सकते हैं।

    • LLM से पैदा हुई content reliability की समस्या पर एक अंतर्दृष्टि:

      लिखना, जो पहले न्यूनतम प्रयास साबित करने का एक तरीका था, अब LLM की वजह से ऐसा काम बन गया है जिसे सत्यापित करने के लिए और अधिक प्रयास चाहिए। इसका असर bug bounty program और CVE process पर पड़ता है, और submissions की बाधा बढ़ने से अंततः अधिक security vulnerability ऐसी रह सकती हैं जो न खोजी जाएँ और न ठीक की जाएँ।

    • curl code का तकनीकी विश्लेषण:

      यह शिकायत खास तौर पर अजीब लगती है, क्योंकि curl user-provided data का उपयोग नहीं करता और compile time पर उसका आकार स्थिर रहता है, इसलिए length check पर आपत्ति अटपटी लगती है। साथ ही, यह भी जिज्ञासा है कि C भाषा से अधिक परिचित कोई व्यक्ति keyval local variable के उपयोग का उद्देश्य समझा सकता है या नहीं।

    • LLM की code review पर आलोचना:

      dineshsec / dinesh_b द्वारा Daniel को strncpy का उपयोग सिखाने की कोशिश समय की बर्बादी बताई गई है, और यह कहा गया है कि memcpy का उपयोग strcpy या strncpy से बेहतर है। LLM की सिफारिशें वास्तव में अनुशंसित नहीं हैं।

    • cybersecurity क्षेत्र में AI की समस्या पर राय:

      हाल तक cybersecurity कुछ हद तक घटिया जानकारी से सुरक्षित था, लेकिन अब AI ठगों के लिए धोखा देना आसान बना रहा है। समस्या AI खुद से अधिक नैतिकता की है, और यदि कोई security report सिर्फ "वैध" दिखे, तो उसके पारित हो जाने की संभावना रहती है।