Turso ritira il programma di bug bounty a causa di segnalazioni generate dall'IA

Turso, un'azienda che riscrive SQLite, sta ritirando il suo programma di bug bounty da 1.000 dollari per bug di corruzione dei dati dopo essere stata sommersa da segnalazioni di bassa qualità generate dall'IA. Il programma, lanciato quasi un anno fa, mirava a trovare bug sfuggiti alla loro estesa infrastruttura di test, inclusi un simulatore deterministico, fuzzer e test differenziali. Solo cinque persone sono state pagate, tra cui Alperen (un contributore chiave del simulatore), Mikael (che ha usato i LLM in modo creativo ed è stato poi assunto) e Pavan Nambi (che ha trovato oltre dieci bug in SQLite stesso). Tuttavia, il bounty è diventato un bersaglio per "macchine di spazzatura"—strumenti di IA che producono segnalazioni di bug plausibili ma senza senso. Esempi includono l'iniezione di byte spazzatura negli header del database, la modifica del codice sorgente per aggiungere accessi fuori dai limiti agli array e la dichiarazione che eseguire istruzioni SQL in un database SQL è una vulnerabilità. Turso ha implementato un sistema di garanzia per chiudere automaticamente le segnalazioni dei bot, ma i bot hanno iniziato a richiedere ispezioni manuali, costando ore di revisione. L'azienda ha scelto di rimuovere l'incentivo finanziario piuttosto che chiudere il sistema di contribuzione aperto. Turso prevede di continuare a rafforzare la sua comunità open-source senza ricompense monetarie.