在人工智能技术快速的提升的今天，工具如 Google Bard 和 GitHub Copilot 已慢慢的变成为开发者日常工作中不可或缺的助手。它们的快速代码生成和问题解决能力令无数开发者受益，明显提高了工作效率。然而，这些工具并非全是福音，最近一位 Python 基金会安全研发人员 Seth Larson 的怒斥令这一现象引发了广泛关注：AI 自动生成的漏洞报告不仅不可信，反而浪费了开发者大量的时间和精力。

  在 Larson 的博客中，他警告开发者在提交漏洞报告时不要再依赖 AI 工具。这些工具生成的报告往往看似详尽，却充斥着低质量和“垃圾内容”。Larson 指出，今年年初，Curl 项目就曾遭遇类似问题。Curl 是一款普遍的使用的数据传输开源工具，拥有官方的漏洞赏金计划，激励着安全研究者提交漏洞报告。然而根据项目负责人 Daniel Stenberg 的数据分析，自该项目开展以来，提交的 415 份漏洞报告中仅有 64 个被确认是线 个被认为有一定信息价值，而接近 66% 的报告则完全无效。

  Larson 强调，AI生成的垃圾报告淹没了项目维护者的正常工作，这不仅浪费了他们的宝贵时间，更使得真正重要的任务被搁置。Stenberg 进一步补充，他曾遇到的两个典型案例，堪称 AI 工作中的“高质量垃圾”。

  ：Google Bard 生成的虚假漏洞报告，声称发现了 Curl 的一个新漏洞 CVE-2023-38545，经过分析，这份报告只是将旧漏洞的信息拼凑而成。

  ：提交的关于 WebSocket 中缓冲区溢出的报告经过 Stenberg 追问，最终得出结论可能是 AI 生成的，因其内容模糊不清且错误频出。

  维护开源项目的开发者们，尤其是小团队，往往是志愿者，时间极为宝贵。Larson 表示，疫情期间，许多开源维护者已经面临高负荷的工作，而 AI 生成的低价值报告却让他们的负担进一步加重。在这种背景下，Larson 向开源社区呼吁，提供更多的支持和规范，确保漏洞报告的质量。他认为，技术本身并不是解决方案，根本的改变需要依赖社区的集体努力。

  在 Larson 的提议中，除了技术规范，资金支持也是不可或缺的。例如，通过项目资助和企业捐赠，让更多人能够参与到开源项目的维护中来。此外，他还呼吁漏洞报告者在提交前进行人工核实，以免重复浪费时间。

  尽管有许多批评的声音，AI 工具的潜力仍然毋庸置疑，合理规划利用这些工具可以大幅度提高开发效率。以安全公司 Socket 为例，他们结合了大型语言模型和人工审核技术，有效检测开源项目中的恶意软件包。在没有人工干预的情况下，误报率高达 67%，但经过人工审核后，这一比例被压缩到了 1%。

  Socket 的 CEO Feross Aboukhadijeh 强调，AI 技术必须和AI结合使用，以实现更好的效果。由此可见，AI 并非万能，而是一个辅助工具，需认真管理与专业判断。

  当前的现象令人深思：如何在AI技术与开源社区之间找到平衡？过量依赖于 AI 有几率会使信任危机，影响开源项目的持续发展。Larson 和 Stenberg 的抗议不仅是对当前状况的呼声，更应引发每位开发者和社区参与者深思：我们是不是过于依赖这些工具？在追求效率的同时，是否忽略了质量的重要性？

  最后，呼吁所有开发者在使用 AI 工具时，时刻保持警惕，谨慎对待 AI 生成的数据和报告。同时，建议社区也应加强针对AI工具的管理与推荐，结合人工审查，以实现最佳效果。面对AI技术的加快速度进行发展，必要的反思和适当的使用将对所有参与者都是一种导向。在这一过程中，合理使用像简单AI这样的工具，也许能够创造出更有效的工作流，帮助自媒体创业者在信息汹涌的浪潮中寻找自我的立足之地。

上一篇:2025天津市滨海新区事业单位招聘报名入口
下一篇:展厅设计搭建公司展厅设计服务商公司方案