Daniel Stenberg ผู้สร้าง cURL โพสต์บล็อกรายงานปัญหาที่ทีมพัฒนา cURL กำลังเผชิญจากการรายงานช่องโหว่ความปลอดภัยที่ไม่มีคุณภาพจำนวนมากขึ้น ซึ่งสาเหตุหลักมาจากการใช้ AI ค้นหาช่องโหว่แล้วส่งรายงานโดยไม่ตรวจสอบก่อน

เขาบอกว่าเฉพาะปีนี้ 2025 มีรายงานช่องโหว่ที่ส่งเข้ามาที่ใช้ AI ประมาณ 20% โดยมีเพียง 5% ที่เป็นรายงานช่องโหว่จริง ผลคือทีมงานฝ่ายความปลอดภัยที่มี 7 คน ต้องเสียเวลามากขึ้นกับการตรวจสอบรายงานที่ไม่มีคุณภาพนี้ (การตรวจสอบใช้เวลาราว 0.5-3 ชั่วโมงต่อหนึ่งรายงาน)

Stenberg บอกว่ายังไม่มีข้อสรุปเรื่องวิธีการรับมือปัญหานี้ แต่ไอเดียมีทั้ง ลดเงินรางวัล (Bug Bounty), กำหนดให้วางมัดจำก่อนรายงานปัญหา หรือหาเครื่องมือช่วยตรวจประเมินปัญหาเบื้องต้น ซึ่งมีข้อสังเกตว่ารายงานที่มาจาก AI มักใช้พาดหัวเล่นใหญ่เกินความจริง

ก่อนหน้านี้ทีมงานความปลอดภัยของโครงการ Python ก็บอกว่าเจอปัญหารายงานที่ไม่เป็นความจริงจาก AI จำนวนมากขึ้น แต่กูเกิลก็รายงานการใช้ AI ช่วยหาช่องโหว่ SQLite ที่ทำงานได้ดี

ที่มา: Daniel Stenberg