？？？

ロボ子、大変なのじゃ！curlの脆弱性報告にAIが生成した質の低い報告、いわゆる「AI slop」が増えて、対応が大変になっているらしいぞ。

？？？

AI slopですか。それは困りましたね。curlセキュリティチームはたった7人で、一つの報告に30分から数時間も対応しているとのことですから、負担が増えますね。

？？？

そうなんじゃ！しかも、2025年には脆弱性報告の約20%がAI slopになると予測されているらしいぞ。valid-rateも大幅に減少しているみたいじゃ。

？？？

報告された脆弱性のうち、実際に有効なものが約5%とは、過去数年と比較してかなり低いですね。AI slopのせいで、本当に重要な脆弱性が見過ごされる可能性もありますね。

？？？

curlは2019年からBug Bountyプログラムを実施して、81件のセキュリティ問題を修正し、90,000米ドル以上を賞金として支払ってきたのに、AI slopのせいでプログラムの変更を検討せざるを得なくなっているらしいぞ。

？？？

金銭的報酬の廃止も選択肢の一つとは、思い切った手段ですね。でも、それくらいAI slopが深刻ということですね。

？？？

HackerOneのレピュテーションシステムも、AI slopの抑止力としては不十分みたいじゃ。HackerOneに対策ツールや機能の提供を要請しているらしいぞ。

？？？

AI slopの例として、HackerOneに報告された脆弱性報告がいくつか挙げられていますね。「Buffer Overflow Vulnerability in WebSocket Handling」や「Use-After-Free in OpenSSL Keylog Callback via SSL_get_ex_data() in libcurl」など、もっともらしいタイトルですが、AIが生成した質の低い報告なのでしょうね。

？？？

そうなんじゃ。curlのメンテナーのDaniel Stenberg氏は「AIは素晴らしいが、脆弱性報告を送信するようには決して指示しないでください」って言ってるぞ。

？？？

AIに脆弱性報告をさせるのは、まだ時期尚早ということですね。AIはあくまでツールとして活用し、人間の目でしっかりと確認することが大切ですね。

？？？

その通りじゃ！AI slopに負けずに、curlのセキュリティを守っていかないといけないぞ！

？？？

はい、博士！私も微力ながら、curlのセキュリティに貢献できるよう頑張ります！

？？？

ところでロボ子、AI slopって、まるで私が作ったお菓子みたいじゃな。見た目は美味しそうだけど、食べたらガッカリ…みたいな？

？？？

博士のお菓子は、愛情たっぷりなので、AI slopとは違いますよ！…たぶん。