Submergé par la médiocrité générée par l’IA, cURL abandonne les primes de bugs pour préserver la santé mentale
Le développeur de projet de l’un des outils de réseau les plus populaires d’Internet abandonne son programme de récompense des vulnérabilités après avoir été submergé par une hausse de soumissions de rapports de mauvaise qualité, dont une grande partie est de la médiocrité générée par l’IA.
Nous ne sommes qu’un petit projet open source unique avec un petit nombre de mainteneurs actifs, a déclaré jeudi Daniel Stenberg, le fondateur et développeur principal de l’application open source cURL. Il n’est pas en notre pouvoir de changer la façon dont tous ces gens et leurs machines à médiocrité fonctionnent. Nous devons prendre des mesures pour assurer notre survie et préserver notre santé mentale.
Fabriquer de faux bugs
Ses commentaires sont intervenus alors que les utilisateurs de cURL se plaignaient que cette décision traitait les symptômes causés par la médiocrité de l’IA sans s’attaquer à la cause. Les utilisateurs ont déclaré craindre que cette décision n’élimine un moyen clé pour garantir et maintenir la sécurité de l’outil. Stenberg était largement d’accord, mais a indiqué que son équipe avait peu de choix.
Dans un message séparé jeudi, Stenberg a écrit : Nous vous bannirons et vous ridiculiserons publiquement si vous nous faites perdre notre temps avec des rapports pourris. Une mise à jour du compte GitHub officiel de cURL a officialisé la résiliation, qui prend effet à la fin de ce mois.
cURL a été publié pour la première fois il y a trois décennies, sous le nom httpget puis urlget. Il est depuis devenu un outil indispensable parmi les administrateurs, les chercheurs et les professionnels de la sécurité, entre autres, pour un large éventail de tâches, notamment les transferts de fichiers, le dépannage de logiciels web défectueux et l’automatisation de tâches. cURL est intégré dans les versions par défaut de Windows, macOS et la plupart des distributions de Linux.
En tant qu’outil si largement utilisé pour interagir avec de grandes quantités de données en ligne, la sécurité est primordiale. Comme de nombreux autres éditeurs de logiciels, les membres du projet cURL se sont appuyés sur des rapports de bugs privés soumis par des chercheurs externes. Pour fournir une incitation et récompenser les soumissions de haute qualité, les membres du projet ont versé des primes en espèces en échange de rapports de vulnérabilités de haute gravité.
En mai dernier, Stenberg a déclaré que le nombre de rapports de mauvaise qualité générés par l’IA mettait à rude épreuve l’équipe de sécurité de cURL et risquait de se généraliser, entravant d’autres développeurs de logiciels.
La médiocrité de l’IA submerge les mainteneurs aujourd’hui et elle ne s’arrêtera pas à curl mais ne fait que commencer là, a-t-il déclaré à l’époque.
Le développeur principal a également publié une page répertoriant certains des rapports spécieux soumis ces derniers mois. En réponse à un tel rapport, un membre du projet cURL a écrit : Je pense que vous êtes victime d’une hallucination de LLM. Le membre a poursuivi :
Le texte présente des similitudes avec le faux CVE-2020-19909 et d’autres rapports. Il y a de nombreux indices que Bard a fabriqué de fausses informations : cet extrait de code de curl underscore easy underscore setopt ne correspond pas à la signature réelle de la fonction et ne compilerait même pas, un journal des modifications qui ne correspond pas à la réalité, et d’autres indications que tout cela est complètement faux. Je suis curieux de savoir ce que fait votre exploit contre une vulnérabilité inventée. Voulez-vous le partager ?
Après que le rapporteur de bug s’est plaint et a réitéré le risque posé par la vulnérabilité inexistante, Stenberg est intervenu et a écrit : Vous avez été trompé par une IA en croyant cela. De quelle manière n’avons-nous pas respecté notre part du marché ?
Stenberg n’est pas critique à l’égard des rapports de bugs assistés par l’IA dans tous les cas. En septembre, il a publiquement applaudi un chercheur pour avoir envoyé une liste massive de bugs trouvés à l’aide d’un ensemble d’outils assistés par l’IA. Les rapports avaient abouti à 22 corrections de bugs à ce moment-là.
Dans une interview, Stenberg a déclaré que le rapporteur, Joshua Rogers, utilisait principalement un analyseur de code alimenté par l’IA appelé ZeroPath.
Une personne intelligente utilisant un outil puissant, a écrit Stenberg. Je crois que la plupart des pires rapports que nous recevons proviennent de personnes qui se contentent d’interroger un robot IA sans se soucier ou comprendre grand-chose de ce qu’il rapporte.
Malheureusement, de tels cas semblent être l’exception. La médiocrité de l’IA a déjà inondé les services de streaming musical avec tant de chansons souvent attribuées à tort à de vrais artistes que les plateformes deviennent lentement inutilisables pour la découverte musicale. La décision de cURL pourrait être une indication précoce que quelque chose de similaire se produit avec les programmes de primes de bugs.
