আমি এর আগে কার্লকে জমা দেওয়া দুর্বলতা প্রতিবেদনে এআই op ালু এর তুলনামূলকভাবে নতুন প্রবণতা সম্পর্কে ব্লগ করেছি এবং কীভাবে এটি আমাদের ব্যথা করে এবং ক্লান্ত করে তোলে।
এই প্রবণতাটি ধীর হয়ে যায় বলে মনে হয় না। বিপরীতে, দেখে মনে হচ্ছে আমরা সম্প্রতি কেবল আরও বেশি এআই op ালুও পেয়েছি তবে আরও বেশি কিছু পেয়েছি মানব op ালু। দ্বিতীয়টি কেবল সেইভাবেই পৃথক হয় যে আমরা তাত্ক্ষণিকভাবে বলতে পারি না যে কোনও এআই এটি তৈরি করেছে, যদিও আমরা বহুবার এখনও এটি সন্দেহ করি। নেট প্রভাব একই।
2025 সালে এখন পর্যন্ত সাধারণ প্রবণতাটি হয়েছে আরও উপায় আগের তুলনায় এআই op ালু (সমস্ত জমা দেওয়ার প্রায় 20%) যেহেতু আমরা প্রতি সপ্তাহে প্রায় দুটি সুরক্ষা প্রতিবেদন জমা দেওয়ার গড় গড়েছি। জুলাইয়ের গোড়ার দিকে, 2025 সালে জমাগুলির প্রায় 5% প্রকৃত দুর্বলতা হিসাবে প্রমাণিত হয়েছিল। বৈধ-হার হ্রাস পেয়েছে উল্লেখযোগ্যভাবে আগের বছরগুলির তুলনায়।
আমরা 2019 সাল থেকে কার্ল বাগের অনুগ্রহ চালিয়েছি এবং আমি এর আগে এটি একটি সাফল্য হিসাবে বিবেচনা করেছি যে আমরা যে খাঁটি এবং বাস্তব সুরক্ষা সমস্যার পরিমাণ পেয়েছি তার উপর ভিত্তি করে আমরা এই প্রোগ্রামটির মাধ্যমে ঠিক করেছি এবং এইভাবে এই প্রোগ্রামটির মাধ্যমে স্থির করেছি। এর মধ্যে 81 টি সঠিক হতে হবে, 90,000 ডলারেরও বেশি পুরষ্কারে অর্থ প্রদান করা হয়েছে।
রাস্তার শেষ?
যদিও আমরা তাড়াহুড়ো বা আতঙ্কে অবিলম্বে কিছু করতে যাচ্ছি না, আমাদের সেটআপ পরিবর্তন করার বিষয়টি বিবেচনা করার কারণ রয়েছে। আমাদের আর্থিক পুরষ্কারটি ফেলে দেওয়া দরকার?
আমি চাই যে আমরা 2025 সালের বাকি বছরগুলি মূল্যায়ন এবং চিন্তা করতে ব্যবহার করি। কার্ল বাউন্টি প্রোগ্রামটি চলতে থাকে এবং পরিস্থিতি উন্নত করতে আমরা কী করতে পারি এবং কী করা উচিত তা নিয়ে চিন্তা করার সময় আমরা আগের মতো সমস্ত কিছু নিয়ে কাজ করি। কার্ল সুরক্ষা দলের সদস্যদের বিচক্ষণতার জন্য।
আমাদের মেশিনে বালির পরিমাণ হ্রাস করতে হবে। ব্যবহারকারীদের নিম্নমানের প্রতিবেদন জমা দেওয়ার জন্য প্রলোভনকে মারাত্মকভাবে হ্রাস করার জন্য আমাদের অবশ্যই কিছু করতে হবে। এটি এআই বা এআই ছাড়াও।
কার্ল সুরক্ষা দলটি সাতটি দলের সদস্য নিয়ে গঠিত। আমি অন্যকেও আমাকে ব্যাক আপ করার জন্য উত্সাহিত করতে উত্সাহিত করি (যাতে আমরা প্রতিটি ক্ষেত্রে সঠিকভাবে কাজ করি)। প্রতিটি প্রতিবেদন এইভাবে 3-4 জনকে জড়িত করে। সম্ভবত 30 মিনিটের জন্য, কখনও কখনও এক ঘন্টা বা তিন পর্যন্ত পর্যন্ত। প্রতিটি।
আমি ব্যক্তিগতভাবে ইতিমধ্যে কার্লে একটি উন্মাদ পরিমাণ ব্যয় করেছি, তিন ঘন্টা নষ্ট করা এখনও অন্যান্য জিনিসের জন্য সময় ফেলে। আমার ফেলো অবশ্য কার্লের পুরো সময় নয়। কার্লের জন্য তাদের প্রতি সপ্তাহে কেবল তিন ঘন্টা থাকতে পারে। উল্লেখ না সংবেদনশীল টোল এই মন-অদ্ভুত বোকামি মোকাবেলা করতে লাগে।
সময় আট একা গত সপ্তাহে।
খ্যাতি সাহায্য করে না
হ্যাকারনে ব্যবহারকারীরা তাদের পান খ্যাতি আমরা যখন রিপোর্টগুলি বন্ধ করি তখন হ্রাস করা হয় প্রযোজ্য নয়। অভিজ্ঞ হ্যাকারোন অংশগ্রহণকারীদের জন্য এটি কেবল একটি হালকা “হুমকি”। প্ল্যাটফর্মে নতুন ব্যবহারকারীদের জন্য যা বেশিরভাগ অর্থহীন অনুশীলন কারণ তারা পরের সপ্তাহে কেবল একটি নতুন অ্যাকাউন্ট তৈরি করতে পারে। এই ব্যবহারকারীদের নিষিদ্ধ করা একইভাবে দাঁতবিহীন হুমকি।
তদ্ব্যতীত, এমন অনেক কিছুই আছে বলে মনে হয় এতো দূরে থাকলেও আরও এক হাজার হাজার রয়েছে।
হ্যাকেরোন
এটা ঠিক আমার কাছে সুস্পষ্ট নয় কিভাবে আমাদের এটিকে মোকাবেলায় সহায়তা করতে হ্যাকেরোন পরিবর্তন করা উচিত। তবে এটি স্পষ্ট যে আমাদের তাদের কিছু করার দরকার। আমাদের ডুবে যাওয়া থেকে বাঁচাতে আমাদের আরও সরঞ্জাম এবং নোবস অফার করুন। আমরা যদি তাদের সাথে প্রোগ্রামটি রাখতে হয়।
আমি আবারও পৌঁছেছি। আমাদের কেবল দেখতে হবে যে এটি আমাদের কোথায় নিয়ে যায়।
সম্ভাব্য রুটগুলি এগিয়ে
লোকেরা সুরক্ষা দুর্বলতা জমা দেওয়ার অধিকারের জন্য ফি চার্জ করার কথা উল্লেখ করে (এটি যথাযথ প্রতিবেদন হলে ফেরত দেওয়া যেতে পারে)। এটি সম্ভবত তাদের উল্লেখযোগ্যভাবে নিশ্চিতভাবে ধীর করে দেবে, তবে এটি একটি ওপেন সোর্স প্রকল্পের জন্য বরং একটি প্রতিকূল উপায় বলে মনে হচ্ছে যা লক্ষ্য করা যায় যতটা সম্ভব উন্মুক্ত এবং উপলব্ধ। এর জন্য আমাদের কাছে কোনও বর্তমান অবকাঠামো সেটআপ নেই – এবং হ্যাকেরোনও নয় তা উল্লেখ করার দরকার নেই। এবং অর্থ পরিচালনা করা বেদনাদায়ক।
আর্থিক পুরষ্কারের অংশটি ফেলে দেওয়া এটির জন্য আরও কম আকর্ষণীয় করে তুলবে সাধারণ জনগোষ্ঠী আয়ের উত্পন্ন করতে পারে এমন কিছু রিপোর্ট করার মরিয়া প্রয়াসে এলোমেলো এআই প্রশ্নগুলি করা। এটি অবশ্যই কিছু পেশাদার এবং অত্যন্ত দক্ষ সুরক্ষা গবেষকদের জন্য ট্র্যাকশনটি সরিয়ে দেয়, তবে সম্ভবত এটি এমন একটি হিট যা আমরা/অবশ্যই নিতে পারি?
এই সাংবাদিকদের অনেক মনে হয় সত্যই তারা ভাবেন যে তারা সাহায্য করে, স্পষ্টতই এআই হাইপ-মেশিনগুলির বিপণন দ্বারা স্পষ্টভাবে প্রতারণা করা হয়েছে, এটি নিশ্চিত নয় যে টেবিল থেকে অর্থ অপসারণ করা পুরোপুরি বন্যা বন্ধ করতে চলেছে। আমাদেরও এর জন্য প্রস্তুত হওয়া দরকার। আমরা যদি সেতুটি পাই তবে সেই সেতুটি পোড়াতে দিন।
এআই op ালু তালিকা
সুরক্ষা প্রতিবেদনের প্রসঙ্গে এআই op ালু অর্থ কী তা সম্পর্কে আপনি যদি এখনও নির্দোষভাবে জানেন না তবে আমার কাছে রয়েছে একটি তালিকা সংগ্রহ কার্লকে জমা দেওয়া বেশ কয়েকটি প্রতিবেদন যা প্রদর্শন করতে সহায়তা করে। আজ থেকে তালিকার একটি স্ন্যাপশট এখানে:
- (সমালোচনামূলক) কার্ল সিভিই -2023-38545 দুর্বলতা কোড পরিবর্তনগুলি ইন্টারনেটে প্রকাশ করা হয়। #2199174
- ওয়েবসকেট হ্যান্ডলিংয়ে বাফার ওভারফ্লো দুর্বলতা #2298307
- Curl_mfprintf ফাংশনে শোষণযোগ্য ফর্ম্যাট স্ট্রিং দুর্বলতা #2819666
- স্ট্রাকিতে বাফার ওভারফ্লো #2823554
- রিমোট কোড এক্সিকিউশনের দিকে পরিচালিত করে স্ট্রাকপি () এ বাফার ওভারফ্লো দুর্বলতা #2871792
- Curl_inet_ntop এবং inet_ntop4 এ বাফার ওভারফ্লো ঝুঁকি #2887487
- এই স্থির #2437131 এর বাইপাস (কার্লে অপর্যাপ্ত প্রোটোকল সীমাবদ্ধতা প্রয়োগ) #2905552
- হ্যাকাররা সংবেদনশীল তথ্য অ্যাক্সেস করে কার্ল দুর্বলতা আক্রমণ করে #2912277
- (“সম্ভাব্য”) ইউএএফ #2981245
- অস্বাস্থ্যকর আইপিএফএস_পাথ পরিবেশের পরিবর্তনশীল মাধ্যমে কার্লে পাথ ট্র্যাভারসাল দুর্বলতা #3100073
- দূষিত সংযোগ প্যাকেটের মাধ্যমে কার্ল এমকিউটিটি টেস্ট সার্ভারে বাফার ওভারফ্লো (টেস্ট/সার্ভার/এমকিউটিটিডি.সি) #3101127
- Libcurl এ একটি ভাঙা বা ঝুঁকিপূর্ণ ক্রিপ্টোগ্রাফিক অ্যালগরিদম (সিডব্লিউই -327) ব্যবহার #3116935
- ডাবল ফ্রি দুর্বলতা
libcurlকুকি পরিচালনা (cookie.c) #3117697 - Http/2 ধারাবাহিকতা বন্যার দুর্বলতা #3125820
- Http/3 স্ট্রিম নির্ভরতা চক্র শোষণ #3125832
- স্মৃতি ফাঁস #3137657
- লোকেশন শিরোনাম হ্যান্ডলিংয়ের মাধ্যমে লিবকার্লে মেমরি ফাঁস (সিডব্লিউই -770) #3158093
- টেলনেট নতুন_এনভি বিকল্প হ্যান্ডলিংয়ে স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো #3230082
- HTTP প্রক্সি বাইপাস মাধ্যমে
CURLOPT_CUSTOMREQUESTক্রিয়া টানেলিং #3231321 - Libcurl এ SSL_GET_EX_DATA () এর মাধ্যমে ওপেনএসএসএল কীলগ কলব্যাকে ব্যবহার করুন #3242005
- HTTP হিংস্রতা বিশ্লেষণ চোরাচালানের অনুরোধ – কার্ল সুরক্ষা প্রতিবেদন #3249936
