दबाव

Lobste.rs की राय

• उम्मीद है कि Daniel और बाकी लोग स्वास्थ्य या परिवार पर बड़ा बुरा असर डाले बिना इस मुश्किल स्थिति से अच्छी तरह निकल जाएंगे
  हालांकि यह मामला कैसे आगे बढ़ेगा, यह काफ़ी दिलचस्प होगा। कई FOSS प्रोजेक्ट्स में नई automated analysis तकनीकों द्वारा अचानक बहुत सारी vulnerabilities ढूंढ लेना पहली बार नहीं हुआ है, और अभी माहौल कुछ वैसा ही लग रहा है जैसा 2010s में graybox fuzzing के आने पर था। संभावित रूप से तीन दिशाएं दिखती हैं: A) डेवलपर्स LLM को security research workflow में शामिल कर लेते हैं, जिससे LLM द्वारा मिलने वाली नई vulnerabilities की संख्या काफ़ी घट जाती है, और LLM की पहुंच से बाहर वाली vulnerabilities वैसे ही मिलती रहती हैं जैसे fuzzer scenario में। B) A जैसा ही, लेकिन LLM सब स्कैन कर लेने के बाद vulnerability discovery लगभग रुक जाती है — यानी “LLM security research को solve कर देता है” वाला scenario। C) curl जैसे बड़े प्रोजेक्ट्स में vulnerabilities लगातार ऊंची दर से मिलती रहती हैं, और सैकड़ों हज़ार lines of code वाले प्रोजेक्ट्स में bugs की संख्या practically infinite होती है — यह “Tony Hoare का revenge” scenario है

  • असल में मुझे लगता है कि A scenario ही होगा
    किसी खास codebase के snapshot में security bugs की संख्या सीमित ही हो सकती है। जब security bug search space ख़त्म होने लगेगा तो यह बाढ़ कम हो जाएगी, और उसके बाद code merges, नए test harnesses, या model improvements से आने वाले bugs थोड़ा-थोड़ा करके बचे रहेंगे
    curl प्रोजेक्ट के C scenario के बारे में, मेरा मानना है कि पहले से security testing और पारंपरिक bug-finding techniques का स्तर इतना ऊंचा था कि जो bugs मिले वे कम severity वाले थे। यह दिखाता है कि bug-finding में लगातार निवेश लंबे समय में फ़ायदा देता रहता है। आज हो या भविष्य में, discovery method कोई भी हो, बात वही है
    Marcus Hutchins के शब्दों में, “bottleneck bug finding कभी नहीं था, bottleneck यह था कि organizations ने security researchers में निवेश न करने का फैसला किया।” LLM ने बस उस निवेश को सस्ता बना दिया है, जबकि organizations पहले भी ज़्यादा निवेश करके और bugs ढूंढ सकती थीं। आख़िरकार यह policy decision है

• LLM technology बनाने वाली कंपनियां सिर्फ़ प्राकृतिक दुनिया ही नहीं बल्कि software world को भी बर्बाद कर रही हैं। hardware की कीमतें इतनी बढ़ रही हैं कि personal computing itself भी खतरे में है, और वे अच्छे open source developers भी जो सिर्फ़ बनाने की इच्छा से बनाते हैं
  यह दिलचस्प है कि पुराने community-managed open source projects को कमजोर और बर्बाद करने के लिए जैसे अनंत फंड मौजूद है, लेकिन उसके बाद के fallout से निपटने के लिए ज़रा भी पैसा नहीं है
  मेरा मानना है कि यह साबित करता है कि Zig सही था। LLM द्वारा खोजे गए CVE को बस संभालना ही नहीं चाहिए; जिसे करना हो, वह करे

  • अगर “LLM द्वारा खोजे गए CVE को बस ignore कर दो”, तो क्या Linux users kernel में कई local privilege escalation vulnerabilities बने रहने को ज़्यादा पसंद करते?
    मुझे पता है कि मुद्दा बिल्कुल यही नहीं है, लेकिन LLM CVE की समस्या यह है कि वही tool इस्तेमाल करने वाला कोई और भी शायद वही चीज़ ढूंढ लेगा। अगर सच में कोई गंभीर issue मिलता है, तो इसका मतलब है कि और लोग उससे नुकसान पहुंचाने वाली चीज़ें भी बना सकते हैं
    बेशक इसका मतलब यह नहीं कि curl में आने वाले ढेर सारे low-severity या non-security issues पर यही बात वैसे ही लागू होती है। फिर भी, किन issues को high priority देना है, यह तय तो करना ही पड़ेगा, और तब हम फिर से पहले चरण पर लौट आते हैं
  • Zig का मामला Curl से अलग है
    Zig अभी भी सक्रिय development में है, और उदाहरण के लिए जब भी incremental compilation या asynchronous I/O जैसी features को ठोस रूप दिया जाता है, नए bugs आने की संभावना रहती है, साथ ही पुराने implementation की अपूर्णता से बने bugs भी हट जाते हैं
    development के इस चरण में अगर कोई Mythos जैसी चीज़ Zig पर चलाकर “सारे bugs ढूंढो और गलती मत करो” वाली approach अपनाए, तो reports की बहुत बड़ी मात्रा निकल सकती है, लेकिन संभव है कि वह लगभग पूरी की पूरी हमारे लिए बेकार हो। अभी bug reports की मुख्य value यह संकेत देने में है कि किसी खास use case में कोई user blocked है, और अगर हम priority देने का निर्णय लें, तो हम उस user की समस्या दूर कर सकते हैं
    इसका मतलब यह नहीं कि यह स्थिति हमेशा रहेगी। कई महत्वपूर्ण compiler features अब align हो रही हैं, और जब stabilization होगी, तब सभी bugs ढूंढना और ठीक करना सबसे ऊंची priority बन जाएगा। उस समय यह तथ्य महत्वपूर्ण होगा कि bug जाना-पहचाना है, चाहे वह कैसे भी मिला हो, लेकिन उस समस्या को हम उसी समय संभालेंगे
    तब तक की policy बस LLM ban है
  • अगर “जिसे करना हो, वह करे”, तो black hats उन security issues को ख़ुशी से ले लेंगे। बस शायद यह वह तरीका नहीं है जिसकी सब उम्मीद करते हैं
    LLM contributions पर ban समझ में आता है, लेकिन मैं उससे सहमत नहीं हूं। security vulnerabilities, उन्हें कैसे खोजा गया उससे अलग, vulnerabilities ही हैं
    मुझे लगता है Daniel का तरीका सबसे अच्छा है। जो bugs ठीक किए जा सकते हैं उन्हें ठीक करो ताकि users ज़्यादा सुरक्षित हों, और साथ ही यह भी बताओ कि इसकी लागत बड़ी है तथा support मांगो। शायद वह यह पोस्ट कभी न पढ़े, लेकिन मैं यह समर्थन और सुझाव भी देना चाहूंगा कि वह physical और mental health को प्राथमिकता देने के लिए workload सीमित करे। दुनिया के ज़्यादातर लोग इसे समझेंगे, और शिकायत शायद बहुत कम लोग करेंगे
  • अगर CVE सचमुच असली है, तो वह कैसे मिला यह महत्वपूर्ण नहीं होना चाहिए, इसलिए यह तरीका कैसे काम करेगा, यह स्पष्ट नहीं है
  • मैंने Project Zero के लोगों द्वारा खोजे गए security bugs के मामले में भी ऐसा ही रवैया देखा है
    यहां दो मुख्य बातें गायब लगती हैं। 1) LLM कंपनी या Project Zero ने वह security bug code में डाला नहीं था। 2) security bug fix करना LLM कंपनी या Project Zero के लिए नहीं बल्कि users के लिए होता है। security bug exploit होने पर नुकसान users को होता है
    खासकर LLM द्वारा खोजे गए bugs के मामले में, पहले से संकेत हैं कि अलग-अलग open source projects में उसी LLM का इस्तेमाल करने वाले दूसरे लोग duplicate reports भेज रहे हैं। इसलिए अगर defenders हाथ खींच लें, तो हमें मान लेना चाहिए कि attackers भी LLM-discovered bugs के बारे में जान जाएंगे

• “मुझे उन projects से ईर्ष्या होती है जिन्होंने अतीत में ऐसे भयानक bugs ship किए जिन्होंने कुछ समय के लिए दुनिया को जला दिया। उन्हें attention मिला, और कुछ को funding और financial power भी मिली, जिससे वे staff रख सके और कई full-time engineers hire कर सके। कभी-कभी मुझे लगता है कि अगर हमारे पास भी ऐसा एक मामला होता, तो शायद हमारे लिए बेहतर होता”
  ऐसा बहुत-सी workplaces में भी होता है। जो teams fail होती हैं उन्हें ज़्यादा लोग मिलते हैं, और जो teams अच्छा करती हैं उन्हें कम लोगों से ज़्यादा काम करना पड़ता है क्योंकि उनके यहां कोई भयानक घटना नहीं हुई

• पता नहीं यह curl जैसे project पर फिट बैठता है या नहीं, लेकिन क्या कुछ समय के लिए feature freeze करके सिर्फ़ आने वाली bug/CVE reports पर focus करना मददगार होगा?
  अगर feature set तय है, तो संभावित bugs/CVE की संख्या सीमित होनी चाहिए, और उन्हें ठीक करते-करते संख्या 0 के क़रीब पहुंचनी चाहिए
  फिर भी, उन्हें शुभकामनाएं। इतने महत्वपूर्ण software को maintain करने का यह दौर आसान नहीं होगा

  • कंपनी में feature freeze डेवलपर्स को उन चीज़ों को ठीक करने का मौका देने के लिए होता है जिनके बारे में उन्हें पहले से शक होता है कि वे टूटी हुई हैं। release से पहले feature freeze का उद्देश्य जितना संभव हो उतना अच्छा feature ship करना होता है, जबकि open source में कई releases तक feature freeze का मतलब डेवलपर्स को ऐसे tool का इस्तेमाल जारी रखने पर मजबूर करना है जिसमें महत्वपूर्ण usability improvements अभी भी नहीं हैं
    developer satisfaction पर इसका असर क्रमशः बढ़ता, बना रहता, और घटता है
    feature freeze release को अच्छी तरह पूरा करने के लिए एक शानदार tool है, लेकिन अपने दम पर दिशा तय करके काम करने वाले डेवलपर्स पर दबाव कम करने के लिए यह अच्छा tool नहीं है