AI slop security engineering: Okta's NextJS-0auth troubles
6 months ago
- #AI
- #security
- #Okta
- 10月向Okta的auth0/nextjs-auth0项目报告了两个安全问题。
- 其中一个漏洞是oauth参数注入,可能导致令牌范围滥用和令牌泄露。
- 提交了一个简单的PR来修复该问题。
- 3周后PR被关闭,维护者通过AI生成的提交将修复归功于他人。
- 维护者承认使用了AI,导致错误的归属和AI生成的道歉。
- 请求更正提交归属被拒绝,引发版权担忧。
- AI生成的细节包含不存在的电子邮件,表明AI使用质量低下。
- 第一个允许账户劫持的漏洞已修复,但未被视为安全问题,因缺少演示视频。
- 维护者Tushar Pandey未更正归属错误。
- Okta安全团队要求提供漏洞视频证明才予认可,这一要求被认为不合理。