隨著 AI 技術的進步,許多開發者開始利用 AI 工具來輔助程式開發,甚至在遇到問題時向 AI 尋求幫助進行錯誤修正。然而,這種趨勢也帶來了一些負面影響,尤其是在開源專案的管理上,AI 生成的低品質漏洞報告已經成為一個嚴重的問題。
隨著 AI 技術的進步,許多開發者開始利用 AI 工具來輔助程式開發,甚至在遇到問題時向 AI 尋求幫助進行錯誤修正。然而,這種趨勢也帶來了一些負面影響,尤其是在開源專案的管理上,AI 生成的低品質漏洞報告已經成為一個嚴重的問題。
Python 基金會的資安工程師 Seth Larson 最近公開呼籲,開發者不應該濫用 AI 工具來報告漏洞。他指出,近期開源專案收到了大量低品質的漏洞報告,其中一些甚至是 AI 產生的「幻覺」,實際上並不存在問題。這些看似合理的報告需要維護者花費大量時間進行查證,嚴重影響了他們的工作效率。
開源專案 Curl 的維護者 Daniel Stenberg 也表達了類似的看法。他表示,AI 生成的垃圾報告經常出現,不僅增加了維護者的負擔,還浪費了他們寶貴的時間與 AI 進行無效的對話。他強調,將會迅速採取行動來遏止這種情況。
Larson 提到,雖然目前每月收到的低品質 AI 漏洞報告不到十件,但這已經是一個警訊。他擔心,如果維護者無法及早辨識這些假資訊,將會浪費大量時間處理這些無效的報告,最終可能導致開源專案的管理者耗盡精力,甚至放棄專案。他強調,開源社群需要進行本質上的改變,不能再依賴少數志願者來完成所有工作。
為了解決這個問題,Larson 呼籲在提交漏洞報告前,必須經過其他人的驗證,避免使用無法真正理解程式碼的 AI 工具。他希望漏洞報告平台能夠採取措施,限制自動化或粗製濫造的資安報告,以確保開源社群能夠健康發展。
總結來說,AI 工具在輔助開發方面確實帶來了許多便利,但在漏洞報告的領域,濫用 AI 可能會導致開源專案的管理變得更加繁瑣,甚至影響整個社群的運作。因此,開發者和維護者需要更加謹慎地使用這些工具,並確保報告的品質和準確性。