Автор curl Даниэль Стенберг сообщил, что ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и обнаружить сразу 50 ошибок и багов в открытой утилите.
Примечательно, что ранее Стенберг объявил, что его открытый проект curl перестанет изучать отчёты об уязвимостях через платформу HackerOne, полученные с помощью ИИ-систем. По заверению Стенберга, подобные массовые сообщения об уязвимостях от систем на базе ИИ перегружают команду проекта. Для проверки ИИ-отчётов необходимо время, которое несравнимо с тем временем, что тратится для создания подобных отчётов при помощи ИИ.
Оказывается, проблема была в разработчиках, а не в технологиях. В прошлом месяце проект curl получил десятки сообщений о потенциальных проблемах от Джошуа Роджерса, исследователя безопасности из Польши. Роджерс выявил множество ошибок и уязвимостей с помощью различных инструментов сканирования с помощью искусственного интеллекта. И его отчёты были не только достоверными, но и оценены по достоинству. Стенберг отметил, что «на самом деле, это действительно потрясающие находки». В своём обновлении списка рассылки Стенберг сказал: «Большинство из них были мелкими ошибками и недочётами в стиле обычного статического анализатора кода, но всё же это были ошибки, которые нам лучше устранить. Некоторые из обнаруженных проблем были довольно впечатляющими находками».
Стенберг сообщил The Register, что принял в работу около 50 исправлений, основанных на отчётах Роджерса. «На мой взгляд, этот список проблем, устранённых с помощью инструментов искусственного интеллекта, показывает, что ИИ можно использовать во благо. Мощные инструменты в руках умного человека — это, безусловно, хорошее сочетание. Так было всегда», — написал Роджерс в обзоре инструментов для сканирования уязвимостей ИИ, которые он тестировал. Он пришёл к выводу, что эти инструменты — Almanax, Corgea, ZeroPath, Gecko и Amplify — способны находить реальные уязвимости в сложном коде.
Роджерс пояснил, что в список потенциальных проблем в curl, которые он обнаружил, используя набор инструментов с поддержкой искусственного интеллекта, есть ошибки в анализаторе Code style, которые встречаются повсеместно. В основном это небольшие ошибки, но все же они есть, и в них могут быть одна или две серьёзные уязвимости в системе безопасности.
«Благодаря Роджерсу я уже исправил 22 (!) ошибки, и мне осталось решить в два раза больше проблем, чем нужно. Возможно, с этим придётся повозиться», — подытожил Стенберг.
Также Роджерс с помощью ИИ обнаружил критические уязвимости в других местах, в том числе в исходном коде своего бывшего работодателя Opera Software. Эта ошибка была исправлена в начале сентября 2025 года.
Источник: habr.com