cURL、AI生成の偽バグ報告急増で脆弱性報奨金制度を廃止

投稿日: 投稿者: Takahashi_Akihiro

人気ネットワークツールcURLが脆弱性報奨金制度を廃止。AI生成の低品質なバグ報告が急増し、開発チームの負担が限界に。オープンソースプロジェクトの持続可能性に影響。

cURL、AI生成の偽バグ報告急増で脆弱性報奨金制度を廃止

インターネットで広く使われているネットワークツール「cURL」の開発チームが、脆弱性報奨金制度を今月末で終了すると発表しました。cURLとは、ファイル転送やウェブソフトウェアの問題解決に使われる無料のツールで、Windows、macOS、Linuxに標準搭載されています。創設者のダニエル・ステンバーグ氏は1月23日、AI(人工知能)が生成した低品質なバグ報告が急増し、小規模な開発チームでは対応しきれなくなったと説明しました。報告の中には、実際には存在しない脆弱性や、コンパイルすらできないコードが含まれていました。この決定は、オープンソースプロジェクトの持続可能性とセキュリティ確保の両立という課題を浮き彫りにしています。報奨金制度は外部研究者から高品質なセキュリティ報告を集める重要な手段でしたが、AI生成コンテンツの氾濫により機能不全に陥りました。

cURLとは何か

cURLは30年前に「httpget」という名前で初めて公開されたネットワークツールです。現在では、システム管理者、研究者、セキュリティ専門家など幅広い人々が使用しています。主な用途は、ファイル転送、ウェブソフトウェアの不具合調査、作業の自動化などです。

このツールは非常に広く普及しており、Windows、macOS、ほとんどのLinuxディストリビューションに標準で組み込まれています。インターネット上の膨大なデータとやり取りする重要なツールであるため、セキュリティの確保が極めて重要です。

脆弱性報奨金制度の仕組みと終了の理由

cURLプロジェクトは、他の多くのソフトウェア開発者と同様に、外部の研究者から提出される非公開のバグ報告に依存してきました。高品質な報告を奨励し報いるため、深刻度の高い脆弱性の報告に対して現金報奨金を支払ってきました。

しかし、2024年5月にステンバーグ氏は、AI生成の低品質な報告の数がcURLセキュリティチームに負担をかけており、問題が拡大する可能性が高いと警告していました。「AIスロップ(AI生成の粗悪コンテンツ)は今日、メンテナーを圧倒しており、cURLで止まることはなく、そこから始まるだけだ」と当時述べています。

ステンバーグ氏は1月23日の声明で、「私たちは少数の活発なメンテナーを持つ小規模な単一のオープンソースプロジェクトに過ぎません。これらすべての人々とそのスロップマシンの動作を変えることは私たちの力の及ぶところではありません。生存と健全な精神状態を確保するために行動を起こす必要があります」と説明しました。

AI生成の偽バグ報告の実態

cURLプロジェクトは、最近数か月間に提出された疑わしい報告の例を公開しています。ある報告に対して、プロジェクトメンバーは「あなたはLLM(大規模言語モデル)の幻覚の犠牲者だと思います」と返答しました。

そのメンバーは続けて、報告内容が偽のCVE(共通脆弱性識別子)と類似点があり、多くの手がかりがAIが偽情報を作り出したことを示していると指摘しました。具体的には、「curl_easy_setopt」のコードスニペットが実際の関数のシグネチャと一致せず、コンパイルすらできないこと、変更履歴が現実と一致しないことなどが挙げられました。

バグ報告者が苦情を述べ、存在しない脆弱性のリスクを繰り返し主張したとき、ステンバーグ氏自身が介入し、「あなたはAIに騙されてそれを信じたのです。私たちはどのような点で約束を果たさなかったのですか」と書きました。

良質なAI支援報告との違い

ステンバーグ氏は、すべてのAI支援バグ報告を批判しているわけではありません。2024年9月には、研究者がAI支援ツールのセットを使用して発見した「大量のリスト」のバグを送信したことを公に称賛しました。その報告は当時22件のバグ修正につながりました。

インタビューで、ステンバーグ氏は、その報告者であるジョシュア・ロジャース氏が主にAI搭載コードアナライザーZeroPathを使用したと述べました。「強力なツールを使う賢い人物です。私たちが受け取る最悪の報告のほとんどは、AIボットに尋ねるだけで、それが報告する内容について気にかけたり理解したりしない人々からのものだと思います」とステンバーグ氏は書いています。

残念ながら、このような良質な事例は例外のようです。問題は、AIツールそのものではなく、その使い方と報告者の理解度にあります。

できること・できないこと

この制度終了により、cURLプロジェクトは開発チームの精神的健康と作業効率を守ることができます。小規模なチームが限られたリソースで、実際に存在する脆弱性の修正に集中できるようになります。

一方で、外部研究者から高品質なセキュリティ報告を集める重要な手段が失われます。報奨金という金銭的インセンティブがなくなることで、真剣な研究者がcURLの脆弱性を発見しても報告しない可能性があります。ステンバーグ氏自身も、この決定が症状への対処であり根本原因への対処ではないことを認めています。

cURLの公式GitHubアカウントには、「くだらない報告で私たちの時間を無駄にした場合、あなたを追放し、公の場で嘲笑します」という警告が更新されました。これは、完全に報告を受け付けないわけではなく、低品質な報告に対する厳格な姿勢を示しています。

私たちへの影響

このニュースは、オープンソースソフトウェアを使用するすべての人々、特にセキュリティを重視する組織や開発者に影響を与えます。cURLは広く使われているツールであり、そのセキュリティ確保の仕組みが変わることは、インターネットインフラ全体に関わる問題です。

短期的な影響としては、cURLの脆弱性発見と報告のプロセスが変化します。報奨金がなくなることで、一部の研究者は他のプロジェクトに注力する可能性があります。ただし、cURLチームは引き続きセキュリティ報告を受け付けており、責任ある開示は継続されます。

中長期的な影響としては、AI生成コンテンツの氾濫が他のオープンソースプロジェクトにも同様の問題を引き起こす可能性が考えられます。音楽ストリーミングサービスでは、AIが生成した大量の楽曲(しばしば実在のアーティストに誤って帰属される)によって、プラットフォームが音楽発見に使えなくなりつつあります。cURLの動きは、バグ報奨金プログラムにも同様のことが起きている初期の兆候かもしれません。

ただし、これはAI技術そのものの問題ではなく、その使い方の問題です。適切に使用されたAIツールは、実際に22件のバグ修正につながった事例が示すように、セキュリティ向上に貢献できます。重要なのは、報告者がAIの出力を理解し、検証し、責任を持って使用することです。

出典:Overrun with AI slop, cURL scraps bug bounties to ensure “intact mental health”(arstechnica.com)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です