Daniel Stenberg ผู้สร้างและผู้ดูแลโครงการ cURL ได้แสดงความกังวลซ้ำ ๆ ตลอดหลายปีที่ผ่านมาเกี่ยวกับคุณภาพของรายงานช่องโหว่ที่ลดลงอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งรายงานที่เกิดจากการใช้แชทบอท AI ซึ่งเขามักเรียกมันว่า 'AI slop' รายงานเหล่านี้แม้จะดูน่าเกรงขามและอธิบายช่องโหว่ที่ซับซ้อน แต่เมื่อตรวจสอบโดยนักพัฒนาที่มีความรู้ กลับพบว่าไม่มีช่องโหว่จริงแต่อย่างใด
Stenberg ได้เปิดเผยตัวอย่างรายงานปลอมเหล่านี้ใน GitHub gist ซึ่งแสดงให้เห็นถึง “word salad” ที่ยาวเหยียดและถูกสร้างขึ้นโดย LLM ในเวลาเพียงไม่กี่วินาที แต่กลับต้องใช้เวลานานสำหรับมนุษย์ในการตรวจสอบและแยกแยะ ก่อนที่จะต้องรับมือกับคำพูดที่ก้าวร้าวจากผู้ส่งรายงาน ยิ่งไปกว่านั้น แม้จะยังมีรายงานที่มีคุณค่าส่งเข้ามาบ้าง แต่ความง่ายดายในการสร้างรายงานปลอมด้วยเครื่องมือ AI ทำให้ระบบ Bug Bounty ท่วมท้นไปด้วยข้อมูลขยะ สร้างภาระมหาศาลให้กับนักพัฒนา ซึ่งต้องใช้เวลาค้นหา ‘เพชร’ เพียงไม่กี่เม็ดจาก ‘กองขยะ’ ขนาดใหญ่
ปัญหาดังกล่าวไม่ใช่เรื่องใหม่สำหรับโครงการโอเพ่นซอร์ส โครงการอย่าง Mesa ก็เคยต้องต่อสู้กับเหตุการณ์ ‘AI slop’ ที่มาจากผู้ที่ไม่มีความเข้าใจในการพัฒนาซอฟต์แวร์เช่นกัน การระงับโครงการ Bug Bounty ของ cURL จึงสะท้อนให้เห็นถึงความท้าทายที่เพิ่มขึ้นที่ชุมชนโอเพ่นซอร์สต้องเผชิญในยุคที่ AI เข้ามามีบทบาทสำคัญ.
🏷️ หมวดหมู่: Artificial Intelligence, bug bounty, libcurl, LLM
🔗 อ่านบทความฉบับเต็ม: hackaday
