Submerg\u00e9 par la m\u00e9diocrit\u00e9 g\u00e9n\u00e9r\u00e9e par l’IA, cURL abandonne les primes de bugs pour pr\u00e9server la sant\u00e9 mentale<\/p>\n
Le d\u00e9veloppeur de projet de l’un des outils de r\u00e9seau les plus populaires d’Internet abandonne son programme de r\u00e9compense des vuln\u00e9rabilit\u00e9s apr\u00e8s avoir \u00e9t\u00e9 submerg\u00e9 par une hausse de soumissions de rapports de mauvaise qualit\u00e9, dont une grande partie est de la m\u00e9diocrit\u00e9 g\u00e9n\u00e9r\u00e9e par l’IA.<\/p>\n
Nous ne sommes qu’un petit projet open source unique avec un petit nombre de mainteneurs actifs, a d\u00e9clar\u00e9 jeudi Daniel Stenberg, le fondateur et d\u00e9veloppeur principal de l’application open source cURL. Il n’est pas en notre pouvoir de changer la fa\u00e7on dont tous ces gens et leurs machines \u00e0 m\u00e9diocrit\u00e9 fonctionnent. Nous devons prendre des mesures pour assurer notre survie et pr\u00e9server notre sant\u00e9 mentale.<\/p>\n
Fabriquer de faux bugs<\/p>\n
Ses commentaires sont intervenus alors que les utilisateurs de cURL se plaignaient que cette d\u00e9cision traitait les sympt\u00f4mes caus\u00e9s par la m\u00e9diocrit\u00e9 de l’IA sans s’attaquer \u00e0 la cause. Les utilisateurs ont d\u00e9clar\u00e9 craindre que cette d\u00e9cision n’\u00e9limine un moyen cl\u00e9 pour garantir et maintenir la s\u00e9curit\u00e9 de l’outil. Stenberg \u00e9tait largement d’accord, mais a indiqu\u00e9 que son \u00e9quipe avait peu de choix.<\/p>\n
Dans un message s\u00e9par\u00e9 jeudi, Stenberg a \u00e9crit : Nous vous bannirons et vous ridiculiserons publiquement si vous nous faites perdre notre temps avec des rapports pourris. Une mise \u00e0 jour du compte GitHub officiel de cURL a officialis\u00e9 la r\u00e9siliation, qui prend effet \u00e0 la fin de ce mois.<\/p>\n
cURL a \u00e9t\u00e9 publi\u00e9 pour la premi\u00e8re fois il y a trois d\u00e9cennies, sous le nom httpget puis urlget. Il est depuis devenu un outil indispensable parmi les administrateurs, les chercheurs et les professionnels de la s\u00e9curit\u00e9, entre autres, pour un large \u00e9ventail de t\u00e2ches, notamment les transferts de fichiers, le d\u00e9pannage de logiciels web d\u00e9fectueux et l’automatisation de t\u00e2ches. cURL est int\u00e9gr\u00e9 dans les versions par d\u00e9faut de Windows, macOS et la plupart des distributions de Linux.<\/p>\n
En tant qu’outil si largement utilis\u00e9 pour interagir avec de grandes quantit\u00e9s de donn\u00e9es en ligne, la s\u00e9curit\u00e9 est primordiale. Comme de nombreux autres \u00e9diteurs de logiciels, les membres du projet cURL se sont appuy\u00e9s sur des rapports de bugs priv\u00e9s soumis par des chercheurs externes. Pour fournir une incitation et r\u00e9compenser les soumissions de haute qualit\u00e9, les membres du projet ont vers\u00e9 des primes en esp\u00e8ces en \u00e9change de rapports de vuln\u00e9rabilit\u00e9s de haute gravit\u00e9.<\/p>\n
En mai dernier, Stenberg a d\u00e9clar\u00e9 que le nombre de rapports de mauvaise qualit\u00e9 g\u00e9n\u00e9r\u00e9s par l’IA mettait \u00e0 rude \u00e9preuve l’\u00e9quipe de s\u00e9curit\u00e9 de cURL et risquait de se g\u00e9n\u00e9raliser, entravant d’autres d\u00e9veloppeurs de logiciels.<\/p>\n
La m\u00e9diocrit\u00e9 de l’IA submerge les mainteneurs aujourd’hui et elle ne s’arr\u00eatera pas \u00e0 curl mais ne fait que commencer l\u00e0, a-t-il d\u00e9clar\u00e9 \u00e0 l’\u00e9poque.<\/p>\n
Le d\u00e9veloppeur principal a \u00e9galement publi\u00e9 une page r\u00e9pertoriant certains des rapports sp\u00e9cieux soumis ces derniers mois. En r\u00e9ponse \u00e0 un tel rapport, un membre du projet cURL a \u00e9crit : Je pense que vous \u00eates victime d’une hallucination de LLM. Le membre a poursuivi :<\/p>\n
Le texte pr\u00e9sente des similitudes avec le faux CVE-2020-19909 et d’autres rapports. Il y a de nombreux indices que Bard a fabriqu\u00e9 de fausses informations : cet extrait de code de curl underscore easy underscore setopt ne correspond pas \u00e0 la signature r\u00e9elle de la fonction et ne compilerait m\u00eame pas, un journal des modifications qui ne correspond pas \u00e0 la r\u00e9alit\u00e9, et d’autres indications que tout cela est compl\u00e8tement faux. Je suis curieux de savoir ce que fait votre exploit contre une vuln\u00e9rabilit\u00e9 invent\u00e9e. Voulez-vous le partager ?<\/p>\n
Apr\u00e8s que le rapporteur de bug s’est plaint et a r\u00e9it\u00e9r\u00e9 le risque pos\u00e9 par la vuln\u00e9rabilit\u00e9 inexistante, Stenberg est intervenu et a \u00e9crit : Vous avez \u00e9t\u00e9 tromp\u00e9 par une IA en croyant cela. De quelle mani\u00e8re n’avons-nous pas respect\u00e9 notre part du march\u00e9 ?<\/p>\n
Stenberg n’est pas critique \u00e0 l’\u00e9gard des rapports de bugs assist\u00e9s par l’IA dans tous les cas. En septembre, il a publiquement applaudi un chercheur pour avoir envoy\u00e9 une liste massive de bugs trouv\u00e9s \u00e0 l’aide d’un ensemble d’outils assist\u00e9s par l’IA. Les rapports avaient abouti \u00e0 22 corrections de bugs \u00e0 ce moment-l\u00e0.<\/p>\n
Dans une interview, Stenberg a d\u00e9clar\u00e9 que le rapporteur, Joshua Rogers, utilisait principalement un analyseur de code aliment\u00e9 par l’IA appel\u00e9 ZeroPath.<\/p>\n
Une personne intelligente utilisant un outil puissant, a \u00e9crit Stenberg. Je crois que la plupart des pires rapports que nous recevons proviennent de personnes qui se contentent d’interroger un robot IA sans se soucier ou comprendre grand-chose de ce qu’il rapporte.<\/p>\n
Malheureusement, de tels cas semblent \u00eatre l’exception. La m\u00e9diocrit\u00e9 de l’IA a d\u00e9j\u00e0 inond\u00e9 les services de streaming musical avec tant de chansons souvent attribu\u00e9es \u00e0 tort \u00e0 de vrais artistes que les plateformes deviennent lentement inutilisables pour la d\u00e9couverte musicale. La d\u00e9cision de cURL pourrait \u00eatre une indication pr\u00e9coce que quelque chose de similaire se produit avec les programmes de primes de bugs.<\/p>\n","protected":false},"excerpt":{"rendered":"
Submerg\u00e9 par la m\u00e9diocrit\u00e9 g\u00e9n\u00e9r\u00e9e par l’IA, cURL abandonne les primes de bugs pour pr\u00e9server la sant\u00e9 mentale Le d\u00e9veloppeur de projet de l’un des outils de r\u00e9seau les plus populaires d’Internet abandonne son programme de r\u00e9compense des vuln\u00e9rabilit\u00e9s apr\u00e8s avoir \u00e9t\u00e9 submerg\u00e9 par une hausse de soumissions de rapports de mauvaise qualit\u00e9, dont une<\/p>\n","protected":false},"author":3,"featured_media":513,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[77],"tags":[],"class_list":["post-512","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/512","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/comments?post=512"}],"version-history":[{"count":0,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/512\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media\/513"}],"wp:attachment":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media?parent=512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/categories?post=512"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/tags?post=512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}