Dự án mã nguồn mởcurlđang phải đối mặt với một lượng lớn các báo cáo bảo mật chất lượng thấp được tạo ra bởi AI.
Tình hình đã trở nên nghiêm trọng đến mức người sáng lập curl Daniel Stenberg cho biết nó đe dọa tương lai của chương trình bug bounty vốn rất thành công, làm dấy lên cuộc tranh luận sôi nổi trong cộng đồng nhà phát triển về cách bảo vệ các dự án mã nguồn mở khỏi hình thức kiệt sức kỹ thuật số mới này.
Trong nhiều năm, tiện ích mã nguồn mở này đã là một thành phần thiết yếu dù vô hình trong vô số ứng dụng, từ ô tô đến máy chủ web.
Để duy trì bảo mật, curl đã triển khai chương trình bug bounty từ năm 2019, trao thưởng cho các nhà nghiên cứu khi phát hiện lỗ hổng thực sự.
Chương trình này đã rất thành công, chi trả hơn 90.000 USD cho 81 bản sửa lỗi bảo mật đã được xác nhận, góp phần làm cho internet an toàn hơn.
Tuy nhiên, tình hình đã thay đổi.
Sự gia tăng của các báo cáo vô nghĩa và tốn thời gian
– phần lớn được tạo ra bởi công cụ AI
– đang làm kiệt sức đội ngũ bảo mật vốn hoạt động tình nguyện.
Daniel Stenberg, người sáng lập và nhà phát triển chính của curl, nhận xét rằng xu hướng báo cáo chất lượng thấp “dường như không chậm lại.
Ngược lại, gần đây chúng tôi không chỉ nhận được nhiều báo cáo rác từ AI mà còn cả từ con người.”
Dự án đang nhận trung bình hai báo cáo bảo mật mỗi tuần, với khoảng 20% trong số đó dễ dàng nhận diện là rác từ AI.
Con số đáng lo ngại nhất là tỷ lệ hợp lệ.
Tính đến đầu tháng 7, chỉ 5% trong tổng số báo cáo được gửi trong năm nay chỉ ra lỗ hổng thực sự.
Khối lượng rác khổng lồ đang lấn át tín hiệu thực.
Lượng rác từ AI này gây ra thiệt hại cụ thể, đặc biệt với các nhóm mã nguồn mở nhỏ.
Đội bảo mật curl chỉ gồm bảy thành viên.
Mỗi báo cáo thường cần ba đến bốn người xử lý trong khoảng từ ba mươi phút đến vài giờ.
Với Stenberg, người làm việc toàn thời gian cho curl, đây là sự lãng phí thời gian quý giá.
Với các đồng nghiệp thường dành thời gian rảnh ít ỏi để tình nguyện, tác động còn nghiêm trọng hơn nhiều.
“Các đồng nghiệp của tôi không làm việc toàn thời gian cho curl.
Họ có thể chỉ dành ba giờ mỗi tuần cho curl,” Stenberg giải thích, nhấn mạnh tác động không cân xứng của một báo cáo giả mạo.
Ông cũng nói về “gánh nặng tinh thần khi phải đối mặt với những thứ ngớ ngẩn làm tê liệt trí óc này,” tiết lộ rằng nhóm đã xử lý tám báo cáo như vậy chỉ trong tuần đầu tiên của tháng 7.
Các biện pháp răn đe hiện tại từ nền tảng bug bountyHackerOnetỏ ra không đủ.
Trong khi người dùng gửi báo cáo không hợp lệ bị giảm điểm uy tín, đây chỉ là bất tiện nhỏ với người tham gia lâu năm và vô nghĩa với người mới có thể dễ dàng tạo tài khoản mới.
Cấm người dùng được Stenberg mô tả là “mối đe dọa khá vô hiệu” trước nguồn cung báo cáo vô tận.
Trong khi chưa có thay đổi ngay lập tức cho dự án mã nguồn mở, Stenberg đã công bố giai đoạn suy ngẫm trong phần còn lại của năm 2025 để xác định cách tốt nhất chống lại rác AI.
“Tôi muốn chúng ta dùng phần còn lại của năm 2025 để đánh giá và suy nghĩ,” ông tuyên bố, thêm rằng mục tiêu là hành động “vì sự minh mẫn của các thành viên đội bảo mật curl.” Mục tiêu cốt lõi rõ ràng:
“Chúng ta phải làm gì đó để giảm mạnh sự cám dỗ gửi báo cáo chất lượng thấp.
Dù có AI hay không.”
Bài đăng của Stenberg đã khơi mào cuộc thảo luận sôi nổi, với các thành viên cộng đồng đề xuất nhiều giải pháp tiềm năng để ngăn làn sóng rác AI tấn công dự án mã nguồn mở.
Ý tưởng thu phí gửi báo cáo, mà bản thân Stenberg coi là thù địch, nhận được sự ủng hộ từ một số nhà phát triển.
Một người lập luận rằng “tiền là rào cản tốt với rác AI giá rẻ ít tốn công,” quan điểm được những người khác đồng tình khi cho rằng khoản phí nhỏ có thể hoàn lại sẽ buộc người báo cáo xác minh phát hiện trước.
Tuy nhiên, ý tưởng này bị phản bác bởi những người chỉ ra rằng kẻ xấu có thể dễ dàng chịu chi phí.
“Khoản thanh toán vượt xa phí danh nghĩa ban đầu,” một nhà phát triển phản bác, so sánh với kinh tế khai thác vàng trong game trực tuyến.
Các đề xuất khác tập trung nâng cao rào cản thủ tục.
Ý tưởng yêu cầu đoạn ghi màn hình ngắn minh họa khai thác lỗ hổng được ưa chuộng vì sẽ là “rào cản lớn hơn nhiều với người chỉ có rác AI không hoạt động” và cho phép người kiểm tra phát hiện giả mạo trong vài giây.
Đề xuất khác bao gồm bắt buộc unit test để tái tạo lỗ hổng, hoặc thậm chí mã “honeypot” sáng tạo được thiết kế để bị bắt bởi quét AI ít tốn công.
Giải pháp kỹ thuật phức tạp hơn cũng được đưa ra, bao gồm hệ thống kiểm soát uy tín dựa trên “mạng lưới tin cậy,” tương tự các buổi ký khóa PGP cũ, hoặc sử dụng hệ thống proof-of-work như Hashcash để tăng chi phí tính toán khi gửi báo cáo.
Khó khăn của dự án curl là tín hiệu cảnh báo cho cộng đồng mã nguồn mở rộng hơn, với một nhà phát triển nhận xét vấn đề đang “được GitHub khuyến khích tích cực,” cho thấy vấn đề hệ sinh thái rộng hơn.
Khi công cụ AI trở nên dễ tiếp cận hơn, thách thức phân biệt đóng góp bảo mật thực sự với rác tự động sẽ chỉ gia tăng và đặt gánh nặng không bền vững lên người duy trì mã nguồn mở.
Xem thêm:Công cụ lập trình AI làm chậm nhà phát triển phần mềm
Tags:ai , artificial intelligence , coding , curl , cybersecurity , development , open-source , programming , security
