Google больше не будет принимать отчеты о найденных уязвимостях в ПО с открытым исходным кодом, сгенерированные ИИ, в рамках программы, которую компания финансировала. Однако она участвует в отдельной программе, использующей ИИ для повышения безопасности в коде с открытым исходным кодом.
Команда программы Google по вознаграждению за обнаружение уязвимостей в ПО с открытым исходным кодом (Google Open Source Software Vulnerability Reward Program) всё больше обеспокоена низким качеством некоторых отчетов об ошибках, созданных ИИ: многие из них содержат галлюцинации о том, как можно вызвать уязвимость, или сообщают об ошибках с незначительным влиянием на безопасность.
«Чтобы наши группы триажа могли сосредоточиться на наиболее критических угрозах, мы теперь будем требовать доказательства более высокого качества (например, воспроизведение с помощью OSS-Fuzz или слитый патч) для определенных уровней, чтобы отсеять низкокачественные отчеты и позволить нам сосредоточиться на реальном влиянии», — написала Google в своем блоге.
Фонд Linux также обнаружил, что объем отчетов об ошибках, сгенерированных ИИ, ошеломляет, и обратился за финансовой помощью к таким ИИ-компаниям, как Google, Anthropic, AWS, Microsoft и OpenAI, чтобы справиться с этой проблемой. Совместно они выделяют фонду 12,5 миллиона долларов на повышение безопасности ПО с открытым исходным кодом.
«Грантовое финансирование само по себе не поможет решить проблему, которую сегодня создают инструменты ИИ для команд по обеспечению безопасности открытого исходного кода», — заявил Грег Кроа-Хартман из проекта ядра Linux в своем блоге. «OSSF располагает активными ресурсами, необходимыми для поддержки многочисленных проектов, которые помогут этим перегруженным мейнтейнерам с триажем и обработкой возросшего потока отчетов о безопасности, сгенерированных ИИ, которые они в настоящее время получают».
Финансирование будет управляться проектом по обеспечению безопасности открытого исходного кода Alpha-Omega и Фондом безопасности открытого исходного кода (Open Source Security Foundation, OSSF) OSSF и будет направлено на предоставление инструментов ИИ для помощи мейнтейнерам в обработке объема отчетов, сгенерированных ИИ.
«Мы рады предоставить помощь в обеспечении безопасности на базе ИИ, ориентированную на мейнтейнеров, сотням тысяч проектов, которые приводят наш мир в движение», — сказал соучредитель Alpha-Omega Майкл Уинсер.
Эта статья впервые появилась на InfoWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter
