ข่าว ZeroPath โชว์ AI สแกนโค้ด หาบั๊กใน Curl ได้ 170 จุด เป็นบั๊กจริงไม่สร้างภาระผู้ดูแลโดยไม่จำเป็น

[News]

ZeroPath โชว์ AI สแกนโค้ด หาบั๊กใน Curl ได้ 170 จุด เป็นบั๊กจริงไม่สร้างภาระผู้ดูแลโดยไม่จำเป็น
Body

ZeroPath รายงานผลการรันบริการแสกนโค้ดบน Curl เพื่อหาช่องโหว่และความผิดพลาดต่างๆ ต่างจากการเอาโค้ดไปใส่ LLM ปกติทั่วไปที่คุณภาพรายงานค่อนข้างต่ำ และพบช่องโหว่ปลอมจำนวนมาก แต่ Daniel Stenberg ผู้ดูแลโครงการ Curl ยืนยันว่ารายงานที่ได้รับจาก ZeroPath มีคุณภาพสูง

ทาง ZeroPath ไม่ได้ส่งผลการสแกนไปเอง แต่ Joshua Rogers นักวิจัยความปลอดภัยเป็นผู้รัน ZeroPath แล้วส่งผลไป โดยตอนนี้ Rogers กำลังทดสอบเครื่องมืออื่นๆ ไปด้วยเช่นกัน

Stenberg ระบุว่า Curl อาศัยระบบตรวจสอบความปลอดภัยโค้ดอัตโนมัติจำนวนมากอยู่แล้ว เช่น scan-build, clang-tidy, CodeSonar, Coverity, CodeQL, และ OSS-Fuzz ทีมงานตรวจสอบทุกรายการแจ้งเตือน แต่อยู่ ZeroPath ก็รายงานบั๊กกว่า 200 รายการ แม้ว่าส่วนมากจะเป็นความผิดพลาดเล็กๆ น้อยๆ เช่น return code ผิด, ไม่ได้คืนหน่วยความจำ, คอมเมนต์ไม่ตรงกับโค้ดจริง, หรือบั๊กใน state management แต่จำนวนรายงานที่เป็นรายงานผิดกลับน้อยมาก บั๊กจำนวนหนึ่งก็เป็นช่องโหว่ความปลอดภัยที่มีความเสี่ยงจริง

ที่มา - ZeroPath, Joshua Rogers, daniel.haxx.se

lew Wed, 22/10/2025 - 13:22

Continue reading...