Curlプロジェクトの創設者、時間を浪費するAIの雑多なバグ報告の洪水に激怒

Curl プロジェクトの創設者 Daniel Stenberg 氏は、AI によって生成された「雑な」バグ報告の洪水にうんざりしており、最近、メンテナーの時間を浪費する労力の少ない報告をスクリーニングするためのチェックボックスを導入しました。

ステンバーグ氏は、プロジェクトのメンテナーが HackerOne 経由で作成された AI 支援による脆弱性レポートをトリアージし、無効と判断されるまでにかかる時間は、プロジェクトに対する DDoS 攻撃に等しいと述べた。

ステンバーグ氏は、最近「限界を超えた」とされるある報道を引用し、リンクトインでこう述べた。「もうたくさんだ。もう我慢の限界だ。この狂気に断固として立ち向かう」

今後、URL を使用してデータを転送するためのコマンドライン ツールおよびライブラリである curl にバグが見つかったと主張するすべての HackerOne レポートでは、提出内容の生成に AI が使用されたかどうかを開示する必要があります。

選ばれた場合、バグ報告者は、curl チームが時間をかけて検証する前に、バグが本物であることを示す証拠を次々と要求するフォローアップの質問の集中砲火を浴びることになるでしょう。

「AIの粗雑な記事とみなした記事を投稿した記者は、直ちにアクセス禁止にしています」とステンバーグ氏は付け加えた。「限界に達しました。事実上、DDoS攻撃を受けているようなものです。もし可能であれば、この時間の無駄遣いに対して賠償金を請求したいところです。」

同氏はさらに、プロジェクトは AI を使用して生成された有効なバグレポートを 1 件も受け取ったことがなく、その割合は増加していると述べた。

「数年前には全くなかったこの種の報告ですが、増加傾向にあるようです」とステンバーグ氏はフォロワーへの返信で述べた。「まだ沈没するほどではありませんが、状況は良くありません」

こうした懸念は目新しいものではありません。Pythonのセス・ラーソン氏も12月に、こうしたAIの不正報告について懸念を表明し、表面上は正当なものに見えるため、対応には費用と時間がかかり、実際には偽物であることを確認する前に、訓練された目でさらに調査する必要があると述べています。

「メンテナーの時間を無駄にするセキュリティレポートは、混乱、ストレス、フラストレーション、そしてセキュリティレポートの秘密主義的な性質による孤立感をもたらします」とラーソン氏は述べている。「こうした感情はすべて、オープンソースプロジェクトへの非常に信頼されている貢献者の燃え尽き症候群を悪化させる可能性があります。」

「多くの点で、こうした低品質の報告は悪意のあるものとして扱われるべきです。たとえそれが彼らの意図でなかったとしても、結果としてメンテナーは疲弊し、正当なセキュリティ作業への抵抗感を強めてしまうでしょう。」

私たちは、AIの粗雑なレポートを提出した記者全員を即座に追放します。もし可能であれば、この時間の無駄遣いに対して料金を請求します。

ステンバーグ氏がHackerOneのレポートにAIフィルターを追加するという決定は、長年にわたるこの慣行に対する不満の蓄積を受けてのものだ。彼は2024年1月という早い時期にこの問題を提起し、例えば当時Geminiと呼ばれていたGoogle Bardで作成されたレポートは「ひどい」どころか、もっとひどいものだと述べていた。

このコメントは、ラーソン氏がほぼ1年後に指摘したのと同じ点を指している。つまり、AIの報告は一見正当に見えるが、幻覚などの問題が明らかになるまでには時間がかかるということだ。

この問題は、curl や Python などのオープンソース ソフトウェア プロジェクトにとって特に大きな打撃となります。これらのプロジェクトは、改善のために少数の無給のボランティア専門家の作業に大きく依存しているからです。

• マイクロソフト、Copilotのバグ報奨金対象を拡大、中程度の不具合でも賞金を支給
• Appleのプライベートクラウドコンピューティングはどれほどプライバシーが確保されているのか？テストして確かめてみよう。
• Google Cloud Document AIの欠陥により、報奨金の支払いにもかかわらず（依然として）データ盗難が可能
• サムスン、Knox Vaultサブシステムの脆弱性発見に対するバグ報奨金を100万ドルに増額

開発者はこれらのプロジェクトに参加したり去ったりしますが、短期間の滞在で、多くの場合、報告したバグの修正やその他の機能追加に協力した後、プロジェクトを去ります。本稿執筆時点で、curlのウェブサイトには、Stenberg氏が1998年に設立して以来、少なくとも3,379人が個別にプロジェクトに貢献してきたと記載されています。

Curl は、プロジェクトにおける重大な脆弱性の発見と報告に対して最大 9,200 ドルの報奨金を用意しており、2019 年以降、86,000 ドルの報奨金を支払ってきた。

HackerOneのページによれば、同社は過去90日間に24件の報告を受けたが、いずれも支払いには至っておらず、Stenberg氏がLinkedInの投稿で述べたように、過去6年間に行われたAI支援による報告で実際に本物のバグが発見されたものは一つもない。

生成 AI ツールにより、バグ報奨金プログラムを知っている低スキルの個人でも、AI 生成コンテンツに基づいてレポートを迅速に提出し、提供される報奨金を獲得できるようになりました。

しかし、ステンバーグ氏は、AI を使って懸賞金プログラムで運試しをするのは初心者や詐欺師だけではなく、ある程度の評判のある者もこの行為に参加していると述べた。

プロジェクト創設者を激怒させた報告書は2日前に作成されたもので、まさに教科書通りのAI生成による提出物だった。

これは、「HTTP/3 プロトコル スタック内のストリーム依存サイクルを利用する新しいエクスプロイトが発見され、メモリ破損やサービス拒否またはリモート コード実行のシナリオにつながる可能性がある」と説明されました。

しかし、最終的には、存在しない関数を参照していることが判明しました。

ステンバーグ氏はこう語った。「私がしばらくの間騙されたのは、その話がほとんどもっともらしく聞こえたことと、記者が実際にそれなりの『評判』を持っていた（つまり、この人物はこれまで何度も記事を書いており、その記事が信頼できると審査されている）という事実が重なったからです。それにもちろん、その日は毎年恒例の丸くなる会合で忙しくしていました。」®