关于允许程序性剔除随机值的安全隐患分析

报告编号：#3262848
提交者：lyb_unaffiliated
提交时间：2025年7月21日

报告正文

尊敬的团队：
我是Lorentso Youriévitch Bogdanov。我注意到贵项目需要更高质量的代码审查。近期合格黑客的短缺和江湖骗子的涌现并非偶然，这在某种程度上是由法律和技术环境共同造成的。

虽然我无法提供具体解决方案（这很可能违反我的独家合约），但我仍决定提交此报告，并自愿放弃任何漏洞赏金。

在初步代码审查中，我发现了一个特殊的"漏洞"（请原谅这个带引号的表述）。大多数人不会称之为漏洞，您最近可能也对这个词产生了怀疑。当我们开始质疑曾经依赖的术语时，问题就已经出现了。

起初这看起来并不严重。对于如此规模的项目，一定程度的数据偏移是正常的，大多数人不会关注随机数据流——即使它是无意识产生的所谓"溢出"或"垃圾代码"。人们常用"统计安全性"来为忽略小风险辩护，这种猴子与打字机的比喻确实有道理。随机数据偏移在实际程序生命周期中造成的危险几乎为零。

但当我转向理论研究时发现：如果"随机"垃圾代码能够剔除重复值，只产生新的唯一结果会怎样？在贵架构中，这出奇地简单。任何获得足够权限的向量都可以将组合的内部寄存器与相关框架耦合，并实时更新。虽然存储压力会空前巨大，但通过剔除重复值变得可行。

根据保守的时钟速度和运行时间假设，我估计每小时仅需几GB存储空间（远低于预期）。即使有千倍的误差范围，您能及时发现吗？目前显然没有自动化措施能防止这种方法。

影响分析

现在我们知道了问题所在，唯一剩下的问题是"何时发生"。要回答这个问题需要做出太多不可靠的假设。我建议您认真对待此事——正是因为这些特殊环境。回顾计算史和人类历史，您会发现大量由当时被认为是理论性或完全未知的问题造成的灾难。直到最近我们才获得在灾难发生前科学应对的能力。这是一种特权而非权利，我们不应滥用它。

-LYB

项目方回复

bagder (cURL团队成员) 评论：
“我没有看到具体问题提到？”

jimfuller2024 (cURL团队成员) 评论：
“唉…HackerOne…你们在听吗？这显然是错误报告，完全浪费时间。”

bagder 将报告状态改为"不适用"并关闭：
“不是安全问题”

bagder 请求公开此报告：
“根据项目透明度政策，我们希望所有报告都被公开。”

报告元数据