Curl закрывает программу bug bounty из-за ИИ-мусора

Узнал о том, что у curl была программа bug bounty, из новости о её закрытии.

ИИ это зло. Ещё хлебнём, помяните моё слово.

Очевидно кандидаты на эту программу должны публиковаться на сайте сами, без предоставления им доступов.

Ты вообще о чём, каких доступов?

Почему бы просто не отправлять все ИИ-шные отчеты в мусорку по умолчанию, и не требовать внятного описания проблемы?

Это тоже работа, требующая времени и усилий. Да, «отправлять и требовать» тоже. Особенно учитывая, что за требованием почти наверняка последует «а чо так?».

Пиши отчеты так чтобы они были похожи на созданные человеком, добавляй небольшие синтаксические ошибки и сленг

Найди еще проекты где платят за багрепорты

выразил надежду, что разработчики будут продолжать отправлять настоящие отчеты о безопасности, даже если финансового вознаграждения не будет

А вот что он будет делать, если и ИИ-мусор продолжат гнать, невзирая?..

Зло – те, кто злоупотребляет возможностями ИИ.

А определять ты их как будешь? Ну другой ИИ разве что натравить, но тут есть шанс отправить в мусорку нормальный отчёт.

за требованием почти наверняка последует «а чо так?».

На это хоть где-то хоть раз отвечали? Ну за пределами ЛОРа, где почему-то модераторы расшаркиваются перед формчанами за удаление заведомо удаляемых сообщений.

Зло – те, кто злоупотребляет возможностями ИИ.

Ну ты глубже копай. Среди людей и без ИИ полно идиотов, ИИ в данном случае просто лишний инструмент, который дали им в руки, чтобы свой идиотизм доказывать.

Тут дело денег касается, если там был не прям бред, а просто бесполезное, но человек этого не понимает, ему хорошо бы это объяснить. Иначе потом придётся читать на всяких реддитах о том, что эта самая программа bug bounty — это скам — я старался, репорт делал, даже ИИ заюзал для максимальной эффективности, а они инфу получили и денег не дали.

Можно, конечно, и на такое забить. Но проще тупо закрыть эту программу, если поток бесполезного нейрофлуда так велик. Вполне адекватное решение, несмотря на то, что теоретики конечно скажут «но ведь можно было [и тут куча всяких условий и лишнего головняка]».

Надо просто залог требовать для таких репортов. Сто долларов. Если репорт лажовый, залог не возвращается, вот и всё.

Хорошая идея, но боюсь она разобьётся об юриспруденцию.

Пускай в Казахстане регистрируется, тут никакой юриспруденции нет. А ещё лучше через биткоин и тор работать. Нет тела - нет дела.

В момент создания репорта и выплаты залога контрибьютер находился под влиянием мошенников. Вернуть всю сумму, моральный ущерб, и дать ещё квартиру в придачу!

у за пределами ЛОРа, где почему-то модераторы расшаркиваются перед формчанами

Пахнет знаешь чем? «Дворянин перед холопами не отчитывается».

Разница в том, что гитхаб это частное место, а ЛОР - общественное. Условно говоря как квартира против дворца молодежи. Из квартиры тебя хозяин может попросить без объяснений причины, а если тебя выгоняют из дворца молодёжи, всё же ожидается какой-то более объективный подход. Ну так, чисто по ощущениям.

Миллион обезьян с гранатами, что поделать.

Нужно просто настроить ИИ-фильтр ИИ-мусора. Это новая реальность 😁

Надо было натравить ИИ на фильтрацию баг отчётов, чтоб они отбрасиласи отчёты от ИИ! Вот это была бы битва гигантоф +). На серьёзно текущая ИИ мания это просто кошмар - уже даже поздравления с ДР родственникам пишут через эти ИИ.

но тут есть шанс отправить в мусорку нормальный отчёт

Это и безо всякого ИИ было. На ГитХабе обычное дело иметь бота, который просто закрывает issue, если в ней нет активности какое-то время. И на некоторых проектах (которые имел неудовольствие) это происходит в циклическом режиме. Баг при этом сохраняется годами.

брать залог биткоинами. границы для них прозрачны.

Если репорт лажовый

Сразу видно ты никогда не играл с QA в игру «cannot reproduce»

Банально через вопрос ответ можно вычислить ИИ-болвана. Капча своего рода. Для фильтрации.

И институт репутации, само собой, нужен. Прощай анонимность. Оказывается, что не всем в интернете можно доверять. Это немного ошарашивает, неправда ли.

Чтобы подать отчёт, нужно пройти проверку:

• Включите камеру;
• Закройте один глаз;
• Посмотрите наверх;
• Посмотрите направо;
• Коснитесь пальцем кончика носа;
• Смените лицо (<– ИИ проколется здесь).

Дык наоброт, тут-то отчитывается.

ИИ-слоп легко палится буквально за один взгляд.

Ну вот пришло тебе тыща сообщений за ночь. Да даже сто. На каком из них твой один взгляд начнет сбоить?

Да, но это твое «почему-то» как-то намекает, что тебе бы хотелось некую вариацию сословий вернуть…

Нет, просто наблюдения. Еще со времен, когда меня заносило на другие форумы.

Какая-то левацкая простодушная либеральщина. Пример надо брать с японцев. Если накосячил мелкий якудза — режут фалангу пальца. И сразу будет видно, кто ИИшные патчи рассылать пытался. Ну или кто фрезеровщик. Но этой погрешностью можно пренебречь.

Просмотреть, потратив на каждое секунд 5-10.

Уже год такая битва в HR, AI фильтрует сотни кандидатов, что тоже строчат сотни откликов с помощью AI.

В результате как в анекдоте где два ковбоя бесплатно навоза поели, а рынок труда деградирует

Не обязательно идиоты. На хабрике сегодня читал про ненавязчивых фиш-ботов, обучаемых «разлоченными» ИИшками)

В интернете нет никаких фаланг, а доллары есть.

В ИИшные патчах ничего плохого нет. Это просто автодополнение. За него всё равно отвечает человек.

Пусть платят за то, чтобы отчеты не присылали.

ИИ это зло.

В руках дибилов, коих большинство.

А вообще перцы не осилили фильтровку отчетов с помощью ИИ.

ИИ проколется здесь

но это неточно…

Этот мозг рака уже заполонил индустрию, и, на самом деле, простое решение уже есть — на каждый более-менее сложный комит забивается стрелка с комитящим, на которой комитящий отвечает за своё предложение. Не можешь ответить — досвидания. Да, время проверяющего теряется, но труд предлагателя правок намного увеличивается. А если поставить репортера в ещё более ассиметричные условия унижения, то можно ещё сильнее отпугнуть челиков, которые ральфом виггамом генерируют репорты.

Для опенсорса потенциально могло бы сработать community-driven ревью, но, увы, в случае security багов это не сработает в виду закрытого процесса рассмотрения.

Этот ваш ИИ и есть мусор.

Компьютеры это зло. Ещё хлебнём, помяните моё слово.

За него всё равно отвечает человек.

1) «Окей, Гугл Гемини! Вот тебе ссылка на исходники. Найди там ошибку и сформируй патч с описанием.»

2) Ctrl+C/Ctrl+V

3) ?????

4) Вы великолепны!

Это ничем не отличается от копипасты кода с linux.org.ru или ещё откуда. В любом случае спрашивать будут с тебя, а не с Гемини.

Да нет... не могу согласиться. В ИИшных патчах плохо то, что железный закон экономии мышления никто не отменял. Если инструмент может позволить человеку не думать, он не будет думать. И полагать, что где-то будут светлооокие высоколобые титаны духа, которые будут досконально перепроверять патчи, выпуская на-гора продукт качества, никак не ниже отборного ручного труда — иллюзия. Т.е. может такие титаны и найдутся, на пару раз. Потом станут как все.

Ну а применительно к curl о титанах мысли и говорить не приходится. Тот пресловутый пример, который они приводят — это натурально копи-паст человеком текста из чат-бота и в оный. Там его роль можно было бы на xdotools переложить, ничего б не поменялось. Чтоб не быть голословным, вот он: https://hackerone.com/reports/3506159

Я не титан и я перепроверяю. А лентяи всегда были и будут. Они и со SO не перепроверяли и тут не будут. Я не менеджер, не знаю, что с этим делать, мне в общем-то плевать, я с другими людьми стараюсь не работать как раз по этой причине, а кого заставляют - придумывайте сами что-нибудь. Хорошо быть мизантропом.

Для копипасты кода с лора или того же SO надо как минимум написать пост с описание проблемы так, чтобы местные начали помогать, а не стебаться и клоунов кидать. Или хотя бы в поисковике вопрос сформулировать, чтобы на такой пост попасть. То есть работа межушного ганглия нужная какая-то.

А тут натравливают искусственного идиота, он находит какой-нибудь мёртвый код, например, пишет кривенький патч и описание. А дальше «охотник» в надежде получить пару баксов этот шедевр засылает копипастой. Всё же готовое.

Возможно, я натягиваю сову на глобус и очень сильно сгущаю краски, но из-за появления кучи нейронок общего и специального назначения и ещё большей кучи ленивых людей, не желающих напрягать межушный ганглий, но имеющих к ним доступ, подобный сценарий вполне реален.

Как минимум по разным чатам всё чаще вижу «мне ИИ посоветовал», «мне ИИ написал». При этом никакой проверки выдачи этого бредогенератора не производят.

Короче, я полностью согласен с Bfgeshka про обезьян.

уже даже поздравления с ДР родственникам пишут через эти ИИ.

Кстати да, бесящая тенденция. Прислали мне двое по простыне текста, явно ИИшного. Читать не стал, попросил у дипсика рассказать краткую выжимку. Как и ожидалось, там было только «с днём рождения, счастьев, удачев». Ну что теперь делать? Надо как-то ответить. Попросил того же дипсика написать текст благодарности с количеством слов не меньше, чем количество слов в поздравлении и отправил. Хз читали они или нет, отвечать мне ничего не стали.