Поделиться
ИТ-гиганты сбросились на борьбу с потоком бесполезных багрепортов, написанных ИИ
Крупные технологические компании из США дали почти $13 млн на поддержку мейнтейнеров проектов по разработке ПО с открытым исходным кодом, которые ведут изнурительную борьбу с бесконечным потоком низкокачественных багрепортов, созданных с помощью ИИ.Мейнтейнеров открытого ПО защитят от «нейрослопа»
Американские технологические гиганты выделили $12,5 млн на поддержку мейнтейнеров проектов по разработке программного обеспечения с открытым исходным кодом, пишет The Register со ссылкой на анонс Linux Foundation, некоммерческого консорциума развития Linux.
Мейнтейнерам, или специалистам, отвечающим за поддержку, обновление и исправление ошибок в ПО, с ростом доступности инструментов искусственного интеллекта (ИИ) стало гораздо тяжелее добросовестно исполнять свои обязанности: генерация багрепорта с помощью большой языковой модели занимает считанные минуты, а на их проверку вручную могут уходить часы.
«С усложнением ландшафта информационной безопасности достижения в сфере искусственного интеллекта кардинальным образом увеличивают скорость и масштабы обнаружения уязвимостей в программном обеспечении с открытым исходным кодом, – говорится в заявлении Linux Foundation, посвященном инициативе. – Мейнтейнеры сталкиваются с беспрецедентным потоком сообщений о выявленных уязвимостях, многие из которых сгенерированы автоматизированными системами, но не располагают ни ресурсами, ни инструментарием, необходимым для их сортировки и эффективного устранения».
В числе компаний, решивших внести свою лепту, Anthropic, Amazon Web Services, GitHub, Google, Microsoft и OpenAI. Реализация инициативы возложена на участников проекта Alpha-Omega и организации Open Source Security Foundation (OpenSSF).
Цель ясна, путь неизвестен
Проект Alpha-Omega своей миссией называет способствование устойчивому улучшению безопасности в критически важных проектах и экосистемах с открытым исходным кодом. Open Source Security Foundation, входящая в структуру Linux Foundation, была создана для объединения работы представителей индустрии в области повышения безопасности открытого ПО.
Как отмечает The Register, эти две структуры «работают напрямую с мейнтейнерами и сообществами, чтобы сделать новые возможности в области безопасности доступными, практичными и совместимыми с существующими рабочими процессами в проектах».
«Эти усилия будут способствовать реализации устойчивых стратегий, которые помогут разработчикам удовлетворять растущие потребности в области безопасности, повышая общую устойчивость экосистемы открытого исходного кода», – говорится в заявлении Linux Foundation.
В анонсе Linux Foundation также приведен комментарий Грега Кроа-Хартмана (Greg Kroah Hartman), одного из ключевых разработчиков ядра Linux, выражающий его отношение к проблеме и путям ее решения: «Грантовое финансирование само по себе не позволит решить проблему, которую сегодня создают инструменты на основе ИИ для команд, занимающихся безопасностью проектов с открытым кодом […] У OpenSSF имеются активные ресурсы, необходимые для поддержки большого числа проектов, которые помогут этим перегруженным работой мейнтейнерам в сортировке и обработке растущего количество отчетов о безопасности, генерируемых ИИ»
Как именно будут израсходованы средства, полученные в форме грантов, а также чем конкретно будут заниматься участники проекта, в Linux Foundation не уточняют.
Болезненная проблема
Проблема бесконечного потока багрепортов, сгенерированных при помощи ИИ-инструментов, не является чем-то совершенно новым для мейнтейнеров ПО с открытым исходным кодом.
Так, в декабре 2024 г. Сет Ларсон (Seth Larson) из Python Software Foundation (развивает язык программирования Python) публично обратился с призывом к участникам сообщества Python воздержаться от использования ИИ-систем при поиске ошибок в коде ПО. Он также обратил внимание на рост количества багрепортов катастрофически низкого качества, порой представляющие из себя плоды «галлюцинаций» больших языковых моделей (LLM).
В январе 2026 г. глава разработки сверхпопулярной свободной утилиты с открытым кодом cURL Даниэль Стенберг (Daniel Stenberg) закрыл программу вознаграждения за выявление уязвимостей (Bug Bounty), действовавшую на площадке HackerOne с 2019 г. Таким образом он рассчитывал поспособствовать сокращению числа желающих заработать «легкие деньги» при помощи ИИ и «снизить уровень информационного» шума.
По словам лидера проекта, из 415 отчетов об уязвимостях в cURL, полученных разработчиками к началу 2024 г., 64 представляли собой описание угроз безопасности, которые впоследствии были подтверждены, еще 77 содержали полезные сведение – о багах, наличие которых напрямую не влияло на безопасность использования утилиты. Остальные же – около 66% от всех присланных – оказались полностью бесполезными. Тем не менее все они потребовали ручной проверки, просто проигнорировать их было бы непрофессионально и опасно.
Поделиться
Короткая ссылка
