最近はソースコードのチェックをAIに行わせてGitHubにプルリクを出させる、といったフローがよく見られるようになりました。
https://qiita.com/chomado/items/92650af47b55632f7ef9
https://qiita.com/ryotab22/items/42f51aaf423de69b1dc3
これを自分のリポジトリに対して行うことはもちろん自由ですが、他人のリポジトリに対してプルリクするのはやめろ、という話です。
Daniel Stenbergという人がLinkedinで盛大にブチ切れています。
もう我慢の限界だ!
このクソを断固として拒否する!
- #Hackeroneに#curlのセキュリティレポートを提出する全ての報告者は、以下に回答する義務がある。
「問題の発見もしくは解決にAIを使用したか?」
使用したと答えた場合、追加の質問がいくつか投げられるだろう。
-
AI slopだと判断した場合、即座にBANする。
事実上我々はDDoS攻撃を受けている。
可能なら、この無駄な時間の料金を請求したいくらいだ。
AIの支援を受けたセキュリティレポートのうち、有効なものはまだ1件もない。
はて、このDaniel Stenbergって人は何の権利があってこんなことを言っているの?
Daniel Stenbergは、cURLの作者です。
何年か前にも馬鹿な企業に絡まれて災難だった彼でしたが、今回は単発ではなく不特定多数から継続的に襲われているため、さらに大変ですね。
以下は、時間の無駄のごく一部です。
https://hackerone.com/reports/3117697
https://hackerone.com/reports/2887487
https://hackerone.com/reports/3125832
https://hackerone.com/reports/3137657
https://hackerone.com/reports/3158093
https://hackerone.com/reports/2871792
https://hackerone.com/reports/3125820
少し覗くだけでうんざりする気持ちがよくわかります。
レポートが来るたびに検証を行い、ゴミか本物の脆弱性かを判断する必要があり、そのために時間の浪費を強いられます。
またHackerOneはレポートの表示非表示を切り替えられるうえにデフォルト非表示なので、こちらが確認できるよりはるかに多くのゴミに埋もれている可能性もあります。
これは金も取りたくなるってものですね。
いやむしろ、HackerOneにとっても商機のひとつなのでは?
レポート提出一回いくらで供託料を取って、AI SLOPだったら没収できるようにするとか。
これで少なくともCurlが陥っている問題は解決するはずです。
もちろん全体的な報告数自体も減ることは間違いありませんが、Curlほど有名プロジェクトであればそれでも十分な数が残るでしょう。
再度強調しておきますが、AI駆動開発をするなということではありません。
他人のリポジトリに対して行うな、ということです。
なのですがー……なんとGitHubはcopilotによるIssue作成機能を実装してしまいました。
この機能の提供それ自体は、時代の趨勢もありまあ必然ではないかと思います。
問題は、これが自分のリポジトリだけではなく他人のリポジトリにもPRできてしまうことです。
さらにCopilotを使ったという目印がなくPRも提出者のアカウントになるようで、AI生成によるゴミなのか有用なPRなのかがぱっと見ではわかりません。
当然ながら自分のリポジトリにCopilotによるPRを拒否する設定を寄越せという要求が上がり、1000人以上が👍する大きな話題となりましたが、関係者からの反応はありません。
Views: 0
