ИИ-инструменты помогли выявить 50 уязвимостей в утилите curl

Автор популярной утилиты curl Даниэль Стенберг рассказал о значительном вкладе ИИ-инструментов в обнаружение ошибок в коде своего проекта. Используя несколько специализированных систем анализа кода — Almanax, Corgea, ZeroPath, Gecko и Amplify — исследователь информационной безопасности Джошуа Роджерс выявил порядка 50 различных проблем и багов в открытом программном обеспечении curl.

Ранее Стенберг выражал скепсис по поводу большого количества отчетов об уязвимостях, получаемых через платформу HackerOne с использованием ИИ: по его словам, их слишком много, и команда проекта не успевает оперативно их обрабатывать. Однако опыт взаимодействия с отчетами Роджерса доказал, что качественные и подробно проработанные сообщения о багфиксе с использованием ИИ представляют большую ценность для развития проекта.

Из обнаруженных проблем большинство носили характер мелких ошибок или отступлений от кодирования по стилю — то, что обычно выявляет классический статический анализатор. Вместе с тем, некоторые находки оказались весьма серьезными и потенциально опасными с точки зрения безопасности. Стенберг отметил, что уже принял к работе 22 исправления на основе рекомендаций ИИ, при этом потребуются дополнительные усилия для устранения оставшихся проблем.

Важным примером полезности ИИ стал и опыт Роджерса, который обнаружил критические уязвимости не только в curl, но и в коде бывшего работодателя — компании Opera Software. Эти ошибки уже были оперативно исправлены.

Таким образом, несмотря на определённые трудности с объёмом получаемой информации, ИИ-инструменты показывают эффективность в помощи разработчикам и специалистам по безопасности. Как отмечают эксперты, сочетание мощных технологий и внимательного аналитика способно значительно повысить качество кода и снизить риски, связанные с уязвимостями.