S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

GenAI : Daniel Stenberg (cURL) en a ras le bol des rapports de vulnérabilité bidons

Le 20 janvier à 09h33

Dans un message sur une liste de diffusion, Daniel Stenberg (ancien de Mozilla et créateur de cURL), a fait part de son agacement contre les signalements de failles générés par IA qui prennent de plus en plus de temps pour pas grand-chose :

« Nous avons commencé la semaine en recevant sept signalements sur HackerOne en seize heures. Certains n’étaient que des bugs et s'en occuper a pris un certain temps. Finalement, nous avons conclu qu'aucun d'eux n'avait identifié de vulnérabilité et nous comptons déjà vingt soumissions effectuées en 2026 ».

cURL est donc en train de sortir de tout programme du genre Hackerone pour essayer de limiter les « rapports de piètre qualité et mal documentés. Générés par IA ou non. Le flot actuel de soumissions met à rude épreuve la sécurité de cURL », ajoute-t-il.

flock

Daniel Stenberg garde espoir de continuer « à recevoir des signalements de failles de sécurité réelles, même sans compensation financière. L'avenir nous le dira ». Dans tous les cas, la suppression de « toute mention d’une prime et de HackerOne » devrait être une réalité dans cURL d’ici la fin du mois de janvier.

Dans son message, il revient aussi sur sa réaction sur les réseaux sociaux où il a « publiquement ridiculisé » (ce sont ses propres mots) une des personnes ayant soumis un rapport « absurde généré par IA ». Le pirate en herbe affirme que ce message aurait « ruiné sa carrière », tandis que Daniel Stenberg rappelle que tout ce qu’il a sur cette personne est « un pseudonyme de hacker utilisé une fois dans un rapport ».

« Il faut trouver un juste milieu, bien sûr, mais je reste convaincu que dénoncer, discuter et ridiculiser ceux qui nous font perdre notre temps est l'un des meilleurs moyens de faire passer le message : il ne faut JAMAIS signaler un bug ou une vulnérabilité sans le comprendre parfaitement ni le reproduire. Si vous le faites malgré tout, je pense avoir le droit de me moquer de la personne concernée et d'être en colère contre elle. Bien sûr, il faut aussi savoir se modérer », indique-t-il pour finir sur ce sujet.

Le 20 janvier à 09h33

Commentaires (25)

votre avatar
Pauvre pirate...
Il ne sait pas vérifier/exploiter de faille et va être obliger de changer de pseudo.

RIP 😢
votre avatar
Pas sûr que se moquer de ceux qui signalent des bugs soit la meilleure façon d'améliorer la qualité du code. À l'avenir, si je trouve un bug (réel) dans cURL, j'y réfléchirais à deux fois avant d'oser faire un rapport de bug.
votre avatar
Sauf qu'on ne parle PAS de bugs ici, mais de failles !
votre avatar
Je n'ai pas le même ressenti en lisant l'article. Il cible plutôt les rapports de mauvaise qualité générés ou aidés par l'IA.

Si tu trouves un bug reproductible dans curl, personne ne va se moquer.
votre avatar
Si tu trouves un bug, le décrit succinctement et clairement ou, si tu ne l'a pas parfaitement compris toi-même, indique que tu le comprends pas parfaitement et que tu ne sais pas trop, personne viendra te chercher des noises.
Si tu trouves un bug et demande à GPT de te générer un rapport de bug, dans lequel il va extrapoler, inventer des cas dans lequel il se produit et essayer de bidouiller un correctif foireux, le tout dans un pavé de plusieurs paragraphes. Là, oui, le mainteneur risque de pas apprécier.

On préfère toujours quelqu'un qui dit "je suis pas sur, mais je crois qu'il y a un soucis parce que quand je fais X il se passe Y alors que ça devrait faire Z" plutôt qu'une IA qui en fait un pavé de 30 lignes, en essayant de trouver où se situe le bug en scrappant les pages Github à l'arrache, et en inventant des détails que l'utilisateur ne lui a pas donné.

Sans compter le fait qu'ici, on parle vraisemblablement de rapports entièrement automatisé où quelqu'un a filé le code source de curl à GPT et lui a dit "trouve une faille pour que je puisse réclamer la prime". Et rapportant donc des "failles de sécurité" qui ne sont que des bugs internes n'arrivant jamais en usage.
votre avatar
Voire des "bugs" hallucinés et n'existant absolument pas.
votre avatar
Il avait fait une liste de faux rapports de vulnérabilités trouvées avec de l'analyse de code IA, mais c'était du genre "je peux utiliser cURL pour télécharger un virus, CVSS 10".
Il a bien raison de s'en moquer.
votre avatar
Il ne se moque uniquement des rapports de sécurité moisis générés par IA, avec un verbiage énorme qui lui fait perdre du temps et des réponses nazes souvent générées par IA au question qu’il pose pour avoir plus de détails.

Daniel Stenberg est très reconnaissant des contributeurs et c’est un des rares à mettre en valeur sur mastodon les contributions des nouveaux contributeurs.
votre avatar
@potn @DamienC31 @CharlesP.
Ça me semble légitime pour ceux qui bombardent des rapports de vulnérabilité faits avec ChatGPT et demandent une récompense. Mais lui semble viser beaucoup plus large ; il dit :
"il ne faut JAMAIS signaler un bug ou une vulnérabilité sans le comprendre parfaitement"

Ok, donc je ne signalerai pas de bug dans cURL si je ne le comprends pas parfaitement. Dont acte.
votre avatar
Comme dit plus haut, si tu donnes ta découverte pour analyse avec les angles morts que tu as constaté, comme dit dans le texte tu ne prends pas grand risque.
On parle là de gens qui font du bugbounty à l’ia dans le strict but d’en faire une activité lucrative. Et comme les primes attirent, certains voient ça comme un loto. Il faut juste leur expliquer quand ils font de la merde.

Et venir chouiner quand tu prends un retour de flamme pour ta réputation, c’est que t’es au mieux un script kiddys qui n’a pas encore compris où tu en es sur la courbe de dunning kruger.
votre avatar
La suite de ce qu'il dit après a été pas mal résumée dans l'article :
But sure, I also need to be restrained. The person might be a teenage kid who did a single one-time mistake and will then move on in life and make excellent stuff in the future.
Il parle de droit à l'erreur du débutant.

Le problème c'est qu'il y a aussi de TRÈS grosses boites qui font des rapports de bug nazes au projet alors que ces mêmes boites ne financent pas le projet.

On en revient toujours à ça :

https://xkcd.com/2347/
votre avatar
Non, pour les bugs ça se passe bien !
Le dernier que j'ai signalé (sur libcurl) était sur FTP utilisé avec TLS1.3. Parfois (souvent) la fin du transfert était perdue.
Ils ont fini par trouver d'où ça venait, si j'ai bien compris TLS1.3 peut envoyer des "tickets" pour des sessions futures et il faut y répondre. Or sur le canal d'upload, libcurl ne fait qu'écrire et ne lisait pas. Ce faisant, la connexion n'est pas réputée terminée proprement par le serveur parce que le client n'a pas lu un message, et il reste des choses dans le "buffer" (la fin du fichier) quand le client s'en va.
TLS1.2 ne faisait pas cela, donc le canal en écriture seule fonctionnait.

C'est corrigé depuis. J'étais repassé en TLS1.2 forcé dans l'attente. J'avais la conséquence (perte de la fin du fichier) pas la cause dans mon rapport, leurs "experts" ont trouvé !
votre avatar
Par contre pour les "optimisations fines"... c'est une autre histoire parce que ce n'est pas leur but !
votre avatar
Mauvaise cible.
À l'avenir, si je trouve un bug (réel) dans cURL, j'y réfléchirais à deux fois avant d'oser faire un rapport de bug.
Quelque chose me dit que le risque est faible.
votre avatar
Je suis utilisateur de libcurl.
votre avatar
Il faut évidemment de la bienveillance "par défaut", et lorsque la personne en face est de bonne foi, mais je pense que Daniel Stenberg a été aussi très échaudé par la quantité de rapports fallacieux/bâclés qu'il reçoit, et finalement c'est sans doute la meilleure décision de se retirer du bug bounty, pour regagner en sérénité.

Quand on lit ce rapport ici, c'est assez frappant, au premier abord je trouve la réaction de Daniel excessive/agressive parceque le problème paraît réel, mais la suite lui donne raison, il arrive à faire cracher le morceau comme quoi c'est un rapport bidon d' IA hallucinée.

Honnêtement, même s'il paraît placer la barre très haut sur les rapports de bugs/vuln, je pense que ce qu'il vise c'est vraiment les rapports de vulnérabilité "intéressés" et bâclés, pas les bugs reports écrits en toute bonne foi.
votre avatar
En effet quand on regarde le rapport déjà c'est dégueulasse en terme de mise en forme, assez illisible. Mais en plus les réponses qui démarrent par "You are correct regarding...", "You're absolutely right", ça pue clairement la GenAI à plein nez.
votre avatar
Il y a désormais ça dans le fichier https://curl.se/.well-known/security.txt :
We will ban you and ridicule you in public if you waste our time on crap reports.
C'est très clair qu'il vise les rapports de sécurité "pourris".

Les rapports légitimes (ou non mais de bonne foi), sans LLM ou qui indiquent clairement que ça a été utilisé ne risquent rien.
votre avatar
J'imagine que ce n'est pas l'apanage de cURL : les plateformes de bug bounty vont probablement devoir mettre en place un système de vérification des soumissions.
Par exemple, si on soumet une faille, on doit payer une caution et on nous la rend dès que la faille est confirmée, ou si le mainteneur confirme notre bonne foi, mais sinon la "caution" est gardée.
votre avatar
Il faut surtout un système de ranking des personnes soumettant des rapports de vulnérabilité pour que les acteurs moins fiables comprennent pourquoi ils perdent en crédit.
votre avatar
Alors pourquoi pas, mais ça risque de faire en sorte que les "nouveaux" soumettant une vraie faille se retrouvent ignorés, et la faille divulguée/exploitée.
votre avatar
Tu peux décider que les "nouveaux" démarrent avec un ranking positif pour leur donner le bénéfice du doute. Pour chaque soumission, le rang est recalculé sur base de tous les feedbacks sur les 6 derniers mois, et voilà.
votre avatar
Moui... Mais dans ce cas, en tant que mainteneur, je risque de considérer que tous ceux avec un rang de "nouveau" sont des "nouveaux", même ceux qui ont par exemple perdu puis repris du rang, donc ça risque d'avoir le même effet, malheureusement...
votre avatar
Il faut
Yakafokon ?

Cela prendrait du temps, déjà perdu à gérer de faux rapports au contenu miteux.

C'est par ailleurs le seul intérêt de plateformes telles qu'HackerOne de décharger les développeurs de cela.
Au lieu de retirer des problèmes, elles en rajoutent, d'où la logique décision d'en sortir.

Si vous avez des idées pour correctement gérer les rapports, leur qualité, leurs auteurs, et décharger les développeurs de projets cibles de cette charge, allez les soumettre à es plateformes.
En attendant, je suis hébété de vois que c'est le projet victime de bullshit qui se retrouve la cible de "conseils" alors que le message est déjà clair : le temps est limité, le support est fragile, et toute perte de temps dilue l'attention et l'effort, et pose donc un risque sur la maintenance, sans même parler de la motivation.
votre avatar
Bientôt un nouveau type de contribution aux projets open-source:
CuisinerInterroger les gens qui soumettent un bug / une faille pour détecter ceux qui se sont appuyés sur l'IA
Avantage: Les compétences sont ailleurs que dans l'informatique

GenAI : Daniel Stenberg (cURL) en a ras le bol des rapports de vulnérabilité bidons

Fermer