Güvenlik uzmanı Seth Larson, birçok açık kaynaklı proje yöneticisinin yapay zeka ile yazılan “düşük kaliteli, spam içerikli ve LLM halüsinasyonlu güvenlik raporlarıyla” karşı karşıya kaldığını açıkladı. Son zamanlarda artan, yapay zeka tarafından oluşturulan, çoğu zaman yanlış ve yanıltıcı olan raporların incelenmesinin çok fazla zaman ve çalışma gerektirmesi, zaten sınırlı zamana sahip olan ve gönüllü olarak katkıda bulunan açık kaynaklı yazılım geliştiricilerini zor durumda bırakıyor.
Larson, raporların güvenlik açısından hassas yapısı nedeniyle yazılımcıların deneyimlerini paylaşmaktan veya yardım istemekten genellikle kaçındıklarını, bu nedenle güvenilir olmayan güvenlik raporlarının daha da fazla zaman aldığına dikkat çekiyor.
Curl ve Python gibi açık kaynaklı projelerin bakımcılarının son zamanlarda bu tür raporlarda artış yaşadığını belirten Larson, Curl yazılımcısı Daniel Stenberg’in de benzer nitelikteki gönderisine dikkat çekti.
Kısa bir süre önce Stenberg, gelen bir hata raporuna yanıt olarak, bildirimde bulunanların doğrulama yapılmadan yapay zeka tarafından oluşturulan bir güvenlik açığı iddiasında bulunmalarını eleştirdi ve bu tür davranışların zaten zorda olan geliştiricilerin iş yükünü daha da artırdığını söyledi.
Curl’de yazılımcı olan Stenberg, “Bunun gibi AI saçmalıklarını düzenli olarak ve büyük miktarlarda alıyoruz. Curl yazılımcılarının gereksiz yüküne katkıda bulunuyorsunuz ve bunu hafife almayı reddediyorum ve buna karşı hızla harekete geçmeye kararlıyım... Muhtemelen bir AI'nın sizi buna inandırması nedeniyle bir güvenlik sorunu olduğunu söylediğiniz bariz bir AI saçmalığı ‘raporu’ gönderdiniz” dedi.
Bu tür asılsız raporlar teknoloji dünyasında yeni olmasa da, yapay zekanın giderek yaygınlaşan kullanımı, sorunu daha da kötüleştirmiş gibi görünüyor. Yapay zeka tarafından oluşturulan hata raporlarının halihazırda geliştiricilerin zamanını ve enerjisini tükettiği ortaya çıktı, ancak Larson, devam eden yanlış raporların geliştiricilerin açık kaynaklı projelere katkıda bulunma isteğini tamamen ortadan kaldırabileceğini söylüyor.
Bu sorunu hafifletmek için Larson, bildiride bulunanların raporlamadan önce kendi doğrulamalarını yapmalarını ve ilk etapta güvenlik açığı tespiti için yapay zeka kullanmaktan kaçınmalarını istiyor. Larson, yazılımcılara zaman kazanmak için şüpheli, yapay zeka tarafından oluşturulmuş raporlara yanıt vermemeleri ve şüphe duyduklarında raporu bildirenlerin iddialarını gerekçelendirmelerini istemeleri gerektiğini söylüyor.