Daniel Stenberg pokazuje kako AI prijave stežu curl i otvoreni kod
Sigurnosni red curla puni se brže nego što ga mali tim može obraditi.📷 AI-generated image / TECH&SPACE
- ★curl prima više od jedne sigurnosne prijave dnevno, 4 do 5 puta više nego 2024.
- ★AI-potpomognute prijave sada su dovoljno detaljne da stvaraju ozbiljan verifikacijski teret.
- ★Stenberg opisuje pritisak koji već utječe na radno vrijeme i ravnotežu privatnog života.
curl je jedan od onih projekata koje većina korisnika nikada ne vidi, ali ga internet stalno koristi. Zato je alarm iz zajednice oko njega važan šire od jedne mailing liste. Prema sažetku koji je objavio Simon Willison, Daniel Stenberg opisuje dosad neviđenu količinu sigurnosnih prijava koje stižu timu curla, velikim dijelom potpomognute AI alatima.
Brojka je jasna: stopa novih sigurnosnih prijava sada je 4 do 5 puta veća nego 2024. i dvostruko veća nego 2025. U praksi to znači više od jedne prijave dnevno. To ne bi bilo dramatično da je riječ samo o buci, dupliciranim nalazima ili automatski generiranim pogreškama. No Stenberg naglašava drugi problem: kvaliteta prijava znatno je viša nego prije, a izvještaji su često dugi, detaljni i dovoljno uvjerljivi da traže ozbiljnu analizu.
To je bitna promjena u sigurnosnom radu otvorenog koda. AI alati mogu pomoći istraživačima da brže napišu bolji izvještaj, povežu tragove i formuliraju sumnju na ranjivost. Ali svaki takav izvještaj mora netko pročitati, reproducirati, provjeriti, kontekstualizirati i odlučiti što dalje. U projektu poput curla, gdje je sigurnosna dokumentacija javna, a posljedice stvarnih propusta mogu biti velike, odgovorna reakcija nije isto što i brzo zatvaranje tiketa.
Daniel Stenberg opisuje val vjerodostojnih, AI-potpomognutih prijava koji je otvorenom projektu donio više od jedne sigurnosne prijave dnevno.
AI-potpomognute prijave traže ljudsku provjeru, reprodukciju i odluku.📷 AI-generated image / TECH&SPACE
Najvažniji detalj u Stenbergovu opisu nije tehnički, nego organizacijski. On piše da je prvi put i njegova supruga izrazila zabrinutost zbog radnih sati i narušene ravnoteže između posla i privatnog života. To je konkretna cijena novog modela sigurnosne produktivnosti: AI može povećati broj prijava, ali ne povećava automatski broj iskusnih održavatelja koji ih mogu razumno obraditi.
Ovdje se vidi slabost industrijske ovisnosti o otvorenom kodu. curl je temeljni alat, ugrađen u bezbrojne sustave, distribucije i razvojne tokove. Njegov se kod nalazi u srcu svakodnevne mrežne komunikacije, ali sigurnosni pritisak završava na relativno malom broju ljudi. Kada Stenberg govori o lavini prioritetnog rada koji potiskuje sve ostalo u projektu, to nije poetska slika nego operativni opis održavanja ključne infrastrukture.
AI zato ne donosi samo pitanje “koliko ranjivosti možemo pronaći”, nego i “tko plaća trošak provjere”. Ako se vjerodostojne prijave nastave gomilati brže nego što ih održavatelji mogu razriješiti, otvoreni projekti mogli bi morati promijeniti trijažu, očekivanja prema prijaviteljima i financiranje sigurnosnog rada. Za curl, čiji je autor i glavni održavatelj Daniel Stenberg, ovo je već sada pritisak bez presedana. Za ostatak softverske industrije, to je rana slika problema koji će se širiti.
