隨着 AI 功能越來越豐富,不少開發者都會使用 AI 系統輔助程式編寫,遇到問題也可以透過 AI 生成報告,但這樣的做法卻令開源項目的管理變得更繁瑣,影響效率。
Python 基金會的資安開發工程師 Seth Larson 最近呼籲,開發者不應該濫用 AI 工具進行漏洞報告。他指出,近期開源項目收到大量低質的漏洞報告,其中更有一些是「AI 幻覺」,問題根本不存在。這些看起來合理的報告都需要花費額外時間查證,嚴重影響開發效率。
開源項目 Curl 的維護者 Daniel Stenberg 也表示,這類 AI 製造的垃圾報告經常出現,不僅增加維護者的負擔,更浪費寶貴時間與 AI 對話。他堅決表示將迅速採取行動,遏止此類情況。
Larson 向媒體表示,雖然目前每月收到的低質 AI 漏洞報告不足十件,但這已是一個警號。他擔心,如果維護者無法及早識別這類報告,將會浪費大量時間處理虛假資訊,最終可能導致開源項目管理者耗盡精神,甚至放棄繼續參與。他強調,開源社群需要本質上的改變,不能再依賴少數義工維護者承擔所有工作。
Larson 呼籲,提交漏洞報告前必須經過人手驗證,避免使用仍然無法真正理解程式碼的 AI 工具,同時他希望漏洞報告平台可以採取措施,限制自動化或粗製濫造的資安報告,維護開源社群的健康發展。
來源:The Register