Създателите на софтуер с отворен код се давят в доклади

Създателите на програмен продукт с отворен код се „ давят ” в отчети за несъществуващи неточности
(снимка: CC0 Public Domain)

Изкуственият разсъдък се трансформира в предизвикателство за разработчиците на програмен продукт с отворен код. За да намерят неточности в него, “ловците ” на бъгове  започнаха да употребяват невронни мрежи, което води до AI х алюцинации и затрупв а програмистите с отчети за неточности, които не съдържат никаква потребна информация. Но все пак разработчиците би трябвало да отделят доста време за инспекция на вся ка една от тях .

Създателите на програмен продукт с отворен код се давят в отчети за неточности, написани от невронни мрежи, отбелязва The Register в обява по тематиката. Ловците на неточности с отворен код (т.нар. buughunters) започнаха интензивно да употребяват невронни мрежи, с цел да оказват помощ на програмистите, само че в действителност ги затрупват с безполезни отчети за несъществуващи неточности.

Боклучиви отчети за неточности

Навлизането на изкуствения разсъдък в ловуването на бъгове сложи началото на „ нова епоха на некачествени отчети за сигурността на отворения код ”. Разработчиците, поддържащи планове с отворен код, към този момент намерено декларират, че ловците на неточности в програмния код би трябвало да разчитат по-малко на резултатите, получени благодарение на невронни мрежи.

Въпросът за боклучивите отчети се повдига на доста високо равнище. Сред тези, които обръщат внимание на казуса, е разработчикът на сигурността в Python Software Foundation – Сет Ларсън.

В началото на декември 2024 година Ларсън прикани в блог обява всички ловци на неточности в кода да не употребяват изкуствен интелект в работата си. „ Напоследък забелязах растеж на извънредно нискокачествени, спам и халюцинирани от LLM отчети за сигурност в плановете с отворен код ”, написа той.

Ларсън също напомни, че през януари 2024 година разработчиците на Curl, помощна стратегия за разнообразни платформи, се сблъскаха с сходен проблем. Той дискутира също способността на генерираните безполезни отчети за неточности да имитират верни отчети, направени от същински специалисти.

„ Тези отчети наподобяват на пръв взор евентуално законни и затова изискват време за оборване ”, споделя Ларсън.

Разработчиците се бунтуват

Проблемът с генерираните отчети за неточности за Curl се появи преди съвсем година, само че към момента не е решен. Един от поддържащите плана, Даниел Стенберг, съобщи по-рано този месец, че халюцинации на невронната мрежа, изпратени под прикритието на отчети за неточности, не престават да идват при него. Стенберг акцентира, че би трябвало да губи време в връзка и разногласия с подателите на такива отчети.

„ Получаваме този тип AI отпадък постоянно и в огромни количества. Вие допринасяте за излишно задължение върху разработчиците на Curl, аз отхвърлям да приема това и се наемам да го реша бързо. Сега и в бъдеще ”, закани се Стенберг.

„ Вие ни предоставяте нещо, което наподобява като явен отчет на AI, в който казвате, че има проблем със сигурността, евентуално тъй като AI ви е подмамил да повярвате ”, продължи Стенберг. „ След това ни губите времето, като не ни казвате, че AI е направил отчета вместо вас, и продължавате полемиката с още по-измамни отговори – евентуално също генерирани от AI ”.

Замърсяване на целия интернет

Спам и нискокачествено онлайн наличие съществуваше доста преди чатботовете, само че генеративните невронни мрежи направиха основаването му по-лесно и по-бързо от всеки път. Резултатът е „ замърсяване ” на публицистиката, уеб търсенията и обществените мрежи, съгласно анализаторите на The Register.

За планове с отворен код отчетите за неточности, генерирани от AI, са изключително нездравословни, тъй като изискват обзор и оценка от инженери по сигурността (много от които са доброволци), притиснати от неналичието на време.

Макар да вижда релативно малко нискокачествени отчети за неточности в AI (по-малко от 10 на месец), Ларсън счита, че това може да е единствено началото. „ Каквото се случи с Python или pip, евентуално ще се случи с повече планове ”, споделя той.

„ Най-много ме тормозят поддържащите, които работят изолирано [далеч от общността]. Ако не знаят, че генерираните от AI отчети са нещо всекидневно, може да не разпознаят какво се случва, преди да изгубят доста време за подправени отчети. Губенето на скъпо доброволческо време за нещо, което не харесвате, е най-сигурният метод да обезсърчите поддържащите да работят ”, заключи Ларсън.

В търсене на решение

Ларсън счита, че общността на отворения код би трябвало да бъде самодейна, с цел да смекчи евентуалните вреди.

„ Колебя се да кажа, че „ повече технология ” е това, което ще реши казуса. Мисля, че сигурността на отворения код се нуждае от някои фундаментални промени. Не може да да бъде оставена на дребен брой поддържащи, нуждаем се от повече нормализиране и бистрота към техния принос към отворения код ”, сподели той пред The ​​Register.

„ Трябва да си отговорим на въпроса: „ по какъв начин да накараме повече доверени хора да вземат участие в общността на отворения код? ”. Финансирането на личния състав е един от отговорите – като моята лична безплатна помощ посредством Alpha-Omega, а присъединяване под формата на дарено време на личния състав е различен отговор ”, сподели Ларсън.

Докато общността на отворения код обмисля по какъв начин да реагира, Ларсън моли подателите на неточности да не му изпращат отчети, до момента в който не бъдат прегледани от човек, и да не употребяват AI, тъй като “тези системи през днешния ден не могат да схванат кода ”.

Той също по този начин приканва платформите, които одобряват отчети за уязвимости, да подхващат стъпки за ограничение на автоматизираното или злонамерено генериране на отчети за сигурност.