现如今，Google Bard、GitHub Copilot 等工具慢慢的变成为开发者日常工作的助手——然而，这些工具带来的并非全都是积极影响：它们在帮助开发者提高效率的同时，也制造了大量“垃圾报告”，对开源项目的维护者造成了巨大困扰。

  近日，Python 基金会的安全研发人员 Seth Larson 在博客中公开呼吁：报告漏洞时不要再依赖 AI 工具了，既不可信也浪费大家的时间！

  “最近，我注意到开源项目中出现了大量低质量、类似垃圾内容的 AI 生成安全报告。”Larson 在博文中写道，今年年初 Curl 项目中也发现了类似问题。他指出，这些报告乍看之下似乎挺靠谱，实际上却需要开发者花费大量时间来驳回其无效性 。

  Larso 所说的 Curl 项目中的“类似问题”，其实在今年 1 月 Curl 项目作者 Daniel Stenberg 也曾发文提过。具体来说，Curl 是一款普遍的使用的开源工具，负责数据传输功能，其漏洞赏金计划激励了大量安全研究者提交漏洞报告。然而，根据 Stenberg 的数据分析，自项目启动以来，他们共收到 415 份漏洞报告，其中只有 64 个被确认为实际存在的安全 Bug，有 77 个被认为是具有信息价值的普通 Bug，而其余近 66% 的报告都是无效的。

  “我们不得不投入大量时间来验证这些无效报告，这不仅浪费了开发资源，更让真正的优先任务被推迟。”Stenberg 写道，“AI 生成的漏洞报告乍看之下非常详细，但本质上就是‘高质量的垃圾’。”

  为此，Stenberg 列举了两个典型案例，并指出“AI 模型在生成报告时的语言流畅性让这些报告看起来更具可信度，这无疑增加了验证工作量。”

  一份报告声称发现了 Curl 的 CVE-2023-38545 漏洞。然而，在实际漏洞披露前，Stenberg 通过一系列分析发现，该报告将旧漏洞的部分细节拼凑在一起，生成了一个看似合理却完全虚假的新漏洞。他在 HackerOne 论坛上澄清，这份报告绝对没依据。

  还有一位用户提交了一份关于 WebSocket 处理中的缓冲区溢出的报告。经过 Stenberg 的反复追问，对方提供的回复含糊其辞且漏洞百出。最终他得出结论，这份报告可能是由 AI 工具生成的，因为其回答中包含典型的“AI 幻觉”特征，即把不相关的信息错误地拼凑在一起，试图制造可信的内容。

  然而，Stenberg 在年头公开斥责的这样的一个问题，直到最近仍在与提交类似“AI 垃圾”报告的用户争论不休——12 月 8 日，他在漏洞报告回复中愤怒回应：

  “我们总是定期收到这种 AI 生成的垃圾内容，这一些内容的大量涌入给 Curl 项目维护者增加了不必要的负担。我对此绝不轻视，并决心迅速采取行动加以应对。

  你提交了一份显然是 AI 生成的‘漏洞报告’，声称其存在安全问题，我猜可能是某个 AI 让你信以为真了。接着，你又浪费我们的时间，不仅未主动表明这份报告由 AI 生成，还继续提供了更多‘垃圾’回复——这些似乎也是 AI 写的。”

  面对这样的一种情况，Larson 也深感头疼：“我最担心的是，那些孤军奋战的维护者可能意识不到这些报告是 AI 生成的，而是在浪费大量时间后才发现都是无效报告……开源项目维护者的时间很宝贵，而这些无意义的消耗会直接引发他们心力交瘁，甚至离开。”

  为了应对这种局面，Larson 提出了一些改进措施。首先，他希望开源社区能够认识到这一问题的重要性，并采取行动预防潜在危害。“我不想说‘更多的技术’将是处理问题的办法，”他说，“但我认为开源安全需要一些根本性的改变。它不能总是落在少数维护者身上来做这项工作，我们应该让这类开源贡献更加规范化和透明化。”

  此外，Larson 提到资金支持也是一个解决方案，例如他自己是通过 Alpha-Omega 项目获得的资助，另外企业捐赠的员工时间参与开源项目也是一种可行的方式。

  在开源社区探索应对方案的同时，Larson 也呼吁漏洞报告者不要提交未经人工核实的报告，并且不再使用 AI 工具，因为“目前这些系统没办法理解代码”。他还敦促负责接收漏洞报告的平台采取一定的措施，限制自动生成或滥用的安全报告。

  虽然 AI 工具的滥用在某些场景下引发了问题，但安全公司 Socket 的 CEO Feross Aboukhadijeh 也指出，AI 工具在检测开源ECO中的恶意软件包方面表现出色。

  例如，通过将 LLM 与人工审核相结合，Socket 能有效识别 JavaScript、Python 和 Go 等生态中的恶意软件包：在没有人工介入的情况下，AI 模型的误报率高达 67%，但经过人工审核后，这一比例降至 1%。

  基于此 Socket 每周能检测约 400 个恶意软件包，大幅度提高了检测效率。“AI 并非万能工具，将其与人工结合才能最大限度减少误报，并实现真正的效能提升。”Aboukhadijeh 强调。

  诚然，AI 技术本身并无罪，重点是使用者的方法态度。因此对于 Seth Larson 和 Daniel Stenberg 所揭示的安全漏洞报告现状，许多网友也都在斥责这种无脑依赖 AI 的行为：

  ● “我们的现代数字基础设施，完全依赖于一群志愿者无偿来维护这些项目，但一些依赖 AI 的脑残们却在浪费他们的时间。”

  ● “那个 Curl 报告看着线% 由 AI 生成的东西，还敢大言不惭地对项目维护者施压。”

  12月11日，南华大学公共卫生学院2022级卫生检验与检疫专业的米青东同学收到侵华日军第七三一部队罪证陈列馆颁发的捐赠证书，感谢他捐赠的“关于大赉县流行病学调查报告残件”，并表示会将此次捐赠的藏品作为馆藏研究，以发挥其最大罪证价值。米青东是湖南怀化辰溪县人，平时喜欢收集老物件。

  「链接」近日，河北省三河市多名白血病患者反映称，“他们遭遇了病友的配捐诈骗。”12月14日，记者从三河市公安局获悉，公安机关接报警称，有白血病患者被黄某诈骗。

  2024年快要过完了大家期盼已久的元旦假期即将来临2025年元旦1月1日（周三）放假1天不调休！赶紧来了解2025年各个节假日具体放假时间依据2024年11月修订的《全国年节及纪念日放假办法》，自2025年1月1日起，全体公民放假的假日增加2天，其中春节、劳动节各增加1天。

  明天（16日），我国大部地区以升温为主，尤其是在阳光助力下，最高气温10℃线将北抬到甘肃南部-陕西南部-河南北部-安徽北部-江苏北部一带。

  周海媚逝世一周年,多位导演怀念：金庸曾感慨要知道她演周芷若,就安排张无忌和她在一起

  新华社快讯：据韩国新闻媒体报道，韩国检察机关15日传唤尹锡悦，但遭尹锡悦拒绝。 关注！

  12月11日下午，深圳湾悦府二期的一住宅发生爆燃事故，根据官方通报，截至11日18时，明火已扑灭，事故造成1人死亡，无其他人员受伤。目击者提供的现场拍摄视频显示，此番爆燃事件波及多个楼层的多个单元。根据深圳市官方通报，11日发生燃爆事故的地点即为悦府二期住宅楼1栋。

  看到这条视频的时候，真的要被笑死！在山东绝对不能相信大街上任何一个1米80以上的，穿搭又好看的“帅哥”，因为下一秒他会掏出电话手表叫妈妈给他充话费[笑哭]。笑死人了，这位小姐姐得尴尬到脚趾头了吧？

  1967年，美国一位富豪不幸患上了癌症，只剩下半年的寿命。2017年解冻时刻来临，正当工作人员小心翼翼打开冷冻罐时，却被紧急叫停。