Khi AI Tăng Cường Phát Hiện Lỗi, Người Quản Trị Phần Mềm Mở Phải Đối Mặt Với Áp Lực Cao Hơn

Khi trí tuệ nhân tạo (AI) ngày càng cải thiện khả năng phát hiện và đánh giá mã nguồn, các dự án mã nguồn mở đang đối mặt với một nghịch lý: mặc dù báo cáo lỗi do AI tạo ra ít "rác" hơn, người duy trì dự án lại phải xử lý khối lượng công việc tăng lên đáng kể.

AI giúp báo cáo lỗi trở nên “chất lượng” hơn nhưng tăng áp lực cho người duy trì

Daniel Stenberg, người sáng lập và phát triển chính của dự án curl, chia sẻ rằng trong vài tháng gần đây, nhóm của anh gần như không còn nhận được các báo cáo bảo mật vô nghĩa (hay còn gọi là "AI slop") do AI tạo ra nữa. Thay vào đó, số lượng báo cáo mang tính xác thực và chính xác hơn, gần như hoàn toàn dựa vào sự hỗ trợ của AI, lại tăng lên nhanh chóng.

"Chúng tôi nhận được báo cáo bảo mật chất lượng cao với tần suất chưa từng có. Điều này thực sự làm tăng khối lượng công việc của đội ngũ duy trì dự án," Stenberg cho biết.

Tình trạng tương tự cũng được Linux Kernel maintainer Greg Kroah-Hartman xác nhận khi nhân tố AI trong báo cáo lỗi ngày càng hiệu quả, dẫn đến số lượng báo cáo có giá trị tăng lên. Tuy nhiên, điều này cũng đặt ra thách thức cho các nhóm duy trì, đặc biệt những nhóm nhỏ, khi phải sàng lọc lượng báo cáo ngày càng nhiều.

Chất lượng không đồng nghĩa với việc lỗi nào cũng nguy hiểm

Stenberg lưu ý rằng, nhiều báo cáo được gửi lên mặc dù có tính hợp lý, nhưng không phải tất cả đều là lỗi bảo mật nghiêm trọng có thể bị khai thác.

Ví dụ, một lỗi về "data race" trong thư viện curl từng được thảo luận có thể được cấp mã CVE (Common Vulnerabilities and Exposures), tuy nhiên lỗi này cuối cùng chỉ được xử lý như một vấn đề thông tin và không được coi là nguy hiểm.

Nỗ lực kiểm soát và thay đổi chính sách thưởng lỗi bảo mật

Năm 2024, Stenberg từng lên tiếng về tình trạng nhận quá nhiều báo cáo rác từ AI và đã quyết định ngừng trả thưởng cho các báo lỗi bảo mật của curl nhằm giảm bớt động lực gửi những báo cáo sai lệch hoặc không xác thực. Phương án này nhằm tránh các bot tự động hoặc con người lợi dụng AI để gửi báo cáo sai nhằm mục đích trục lợi.

Một số tổ chức khác cũng có động thái tương tự, như chương trình thưởng lỗi (bug bounty) của Internet Bug Bounty, vừa ngừng việc trả thưởng từ cuối tháng 3 năm nay để tái cấu trúc chương trình sao cho phù hợp với sự thay đổi nhanh chóng trên thực tế.

Cần nâng cao yêu cầu và phân loại báo cáo

Linux maintainer Willy Tarreau cho rằng đã đến lúc cần phải cập nhật quy trình báo cáo lỗi, đòi hỏi người tạo báo cáo và các công cụ AI tích hợp làm tốt hơn một phần công việc so với hiện tại để giảm áp lực phân loại và kiểm duyệt.

Ông nhấn mạnh rằng, mặc dù AI hỗ trợ công đoạn tạo ra báo cáo, nhưng năng lực con người trong quy trình kiểm định lỗi không thể tự động được nâng cao tương ứng. Điều này có nghĩa nhiều người dùng AI coi lợi ích xuất phát từ tự động hóa bị "đánh đổi" bằng thời gian làm sạch và kiểm tra lỗi do AI tạo ra.

Tác động đối với cộng đồng mã nguồn mở tại Việt Nam

Việc áp dụng AI trong nghiên cứu và phát hiện lỗi phần mềm mở cũng xảy ra tại các cộng đồng và cá nhân phát triển phần mềm Việt Nam. Tuy nhiên, nguồn lực kỹ thuật và con người có giới hạn khiến áp lực lên người duy trì ngày càng lớn, nhất là khi AI tạo ra nhiều báo cáo chất lượng dễ khiến con người bỏ qua bước kiểm tra kỹ càng.

Việc cập nhật quy trình báo cáo kết hợp đào tạo nâng cao kỹ năng đánh giá lỗi cho các maintainer là điều cần thiết để tận dụng hiệu quả AI mà không bị quá tải.

---

Tóm lại, AI đang dần làm tốt vai trò của mình trong việc phát hiện các lỗi phần mềm, đặc biệt trong lĩnh vực bảo mật mã nguồn mở. Tuy nhiên, con người vẫn đóng vai trò không thể thay thế trong việc đánh giá và xác minh những phát hiện này. Thách thức đặt ra là làm thế nào để phối hợp tối ưu giữa AI và nhân lực con người, nhằm đảm bảo chất lượng bảo mật trong khi không gây quá tải cho đội ngũ phát triển.