คุณใช้ AI ทำสิ่งนี้ และคุณไม่เข้าใจว่าตัวเองกำลังทำอะไรอยู่

 (hackerone.com)
1 คะแนน โดย GN⁺ 2025-09-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-09-23
ความคิดเห็นบน Hacker News

  • เขาแค่คัดลอกคำตอบของ badger ไปวางในแชต แล้วส่งกลับเข้าไปใน issue อีกครั้งด้วยคำตอบที่เห็นได้ชัดมากว่า AI เป็นคนเขียน ประมาณว่า "ขอบคุณสำหรับการตรวจสอบอย่างรวดเร็ว คุณพูดถูกที่ PoC ของผมไม่ได้ใช้ libcurl จึงพิสูจน์บั๊กของ cURL ไม่ได้ ผมขอถอนคำกล่าวอ้างเรื่อง cookie overflow และขออภัยที่ทำให้สับสน กรุณาปิดรายงานนี้ว่าใช้ไม่ได้ หากเป็นประโยชน์ ผมจะแยกส่งโค้ด C สำหรับ reproduce ขั้นต่ำที่ทำให้ตัวแยกวิเคราะห์คุกกี้ของ libcurl ทำงานจริง และจะอ้างอิงฟังก์ชัน/บรรทัดที่แน่ชัดใน lib/cookie.c ถ้าพบปัญหา" แล้วก็ส่งข้อความทำนองนี้ไปตรงๆ

    • น่าเสียดายที่พฤติกรรมแบบคัดลอก-วางง่ายๆ ลักษณะนี้กลายเป็นเรื่องธรรมดาไปแล้วทุกวันนี้

    • ดูเหมือนจะมีคนในวงการเทคบางส่วนที่ตั้งใจทำแบบนี้เพื่ออวดว่า "AI ตัวนี้ได้สร้าง PR ไปช่วยโปรเจกต์โอเพนซอร์สชื่อดังแล้ว" กล่าวคือ ตอนนี้งานที่ AI ทำถูกโยนภาระไปให้เหล่าอาสาสมัคร OSS และยังเผาเวลาของผู้ดูแลโอเพนซอร์สทั้งที่ไม่ได้ตรวจด้วยซ้ำว่ามันใช้งานได้จริงหรือไม่

    • สงสัยว่าตั้งแต่ต้นมันทำกันด้วย AI ล้วนๆ โดยไม่มีคนแตะเลยหรือเปล่า ต่อไป CVS จะเต็มไปด้วยเอเจนต์สมัครบัญชีแล้วให้ AI ส่ง 'บั๊ก' แบบนี้กันหมดหรือไม่ก็น่ากังวล

    • ประโยคพวกนี้อย่าง "ขอบคุณ" "ถูกต้อง" รวมถึงไวยากรณ์ที่เป๊ะและการอ้างอิงเชิงเทคนิคที่ล้นๆ ทำให้คำตอบนี้เองก็ดูเหมือน AI เขียนเหมือนกัน

    • ตอนนี้ที่พวกเราจับได้แทบจะทันทีว่าเป็นคำตอบจาก AI มันก็ชวนให้คิดว่า AI กำลังตกการทดสอบทัวริงโดยพฤตินัยหรือเปล่า

  • "ได้ยินมาว่าคุณคำนวณเลขได้เร็วมาก" ผม: "ใช่ จริง" ผู้สัมภาษณ์: "14 x 27 ได้เท่าไร" ผม: "49" ผู้สัมภาษณ์: "ผิดหมดเลย" ผม: "แต่ผมเร็วนะ"

    • อยากได้ภาษาคอมไพเลอร์แบบ "almost-just-in-time (AIJIT)" ถ้าเวลาไม่พอก็แค่คืนคำตอบมั่วๆ กลับมา

    • function getRandomNumber() {
  return 4
}

      โค้ดแบบนี้แหละ ตัวอย่างของการคืนค่าเลขสุ่มที่สุ่มจริงๆ

    • ตอนผมทำ load test คำตอบที่ latency ต่ำที่สุดคือเวลามี request ผิดพลาดอะไรสักอย่าง

    • มันให้อารมณ์เหมือน วิดีโอ "Is this your card?" แบบ "ใช่ไพ่ใบนี้ของคุณไหม" "ไม่ใช่ แต่ก็ใกล้มากนะ! นี่แหละคนที่คุณกำลังหาอยู่"

  • ผมสงสัยว่าดุลยภาพระหว่าง "ผมประหยัดเวลาให้ตัวเองไปเท่าไร" กับ "ผมทำให้คนอื่นเสียเวลาไปเท่าไร" ใน 'การปฏิวัติ' ทางเทคโนโลยีครั้งนี้มันอยู่ตรงไหนกันแน่

    • ผมเองก็เคยรู้สึกว่าความช่วยเหลือจาก AI มีประโยชน์มาก (Claude Code, Gemini Deep Research ฯลฯ) แต่ต้องมีมนุษย์คั่นกลางเสมอ และปัญหานี้เกิดขึ้นได้แม้ในสภาพแวดล้อมของบริษัทที่ทุกคนรับผิดชอบได้ ถ้าจะใช้ AI คนต้องรับผิดชอบเต็มๆ ตอนส่ง PR หรือรายงาน HackerOne ในท้ายที่สุด จากที่ผมเห็น โดยเฉพาะนักพัฒนารุ่นจูเนียร์มักคัดลอกคำตอบของ AI ไปวางส่งตรงๆ และในฐานะซีเนียร์ผมคิดว่าต้องห้ามพฤติกรรมนี้อย่างจริงจัง ใช้ AI ช่วยได้ แต่การตรวจสอบขั้นสุดท้ายและความรับผิดชอบต้องเป็นของคน

    • ถ้ายิ่งเอาคำตอบที่คนอื่นเขียนด้วย AI ไปป้อนให้เครื่องมือ AI ของผมตอบกลับอีกที ก็ยิ่งเป็นโมเดลหมุนเวียนอัตโนมัติแบบ 'แปลงพลังงานเป็นเงิน' ที่สมบูรณ์แบบ ไม่มีใครใช้เวลาจริง มีแต่เผาพลังงานทิ้ง เป็นโมเดลธุรกิจที่สมบูรณ์แบบจริงๆ

    • ที่จริงเรื่องแบบนี้ไม่ได้เกิดกับเครื่องมือ AI อย่างเดียว แต่ยังเกิดกับเครื่องมือทำค่าใช้จ่ายตัวใหม่ๆ (ดีต่อฝ่ายบัญชีแต่ประสบการณ์ใช้งานแย่), กระบวนการตรวจสัญญา (ดีต่อฝ่ายกฎหมายหรือ infosec แต่ยุ่งยากสำหรับ SaaS ที่ทุกคนต้องใช้) ฯลฯ ด้วย มีคนพยายามประหยัดเวลาตัวเองด้วยการโยนงานให้คนอื่นอยู่เสมอ

    • ถ้าทำให้คนอื่นเสียเวลา สุดท้ายก็ต้องมีใครสักคนมานั่งทำความเข้าใจเรื่องไร้สาระที่ AI สร้างขึ้น ดังนั้นก็ยังมีผลช่วยรักษางานเอาไว้ได้เหมือนกัน

    • ถ้าหาช่องโหว่จริงๆ ก็หาไม่เจอ แถมยังทำให้คนอื่นเสียเวลา เวลาที่พวกเขาอ้างว่าประหยัดได้นั้นก็แทบไม่มีอยู่จริง

  • มีตัวอย่างที่หนักกว่านี้มาก
    https://hackerone.com/reports/2298307

    • ประโยคอย่าง "ขอบคุณสำหรับการมีส่วนร่วมของคุณ และผมอยากชี้แจงสถานการณ์ให้ชัดเจน" มันชวนอึ้งจริงๆ เพราะปฏิบัติต่อการมีมนุษย์เข้ามาเกี่ยวข้องเหมือนเป็น 'เงื่อนไขการทดลอง'

    • ท่าทีแบบนี้เสียมารยาทจริงๆ

    • ชวนให้คิดว่าควรมีเว็บแบบ base.org ที่ไว้รวบรวมเฉพาะคำพูดอ้างอิงจาก AI

    • พอมองสถานการณ์แบบนี้แล้ว การที่นักพัฒนาหรือผู้ดูแลตอบสนองอย่างสุจริตใจและใส่ใจก็ดูสูญเปล่าไปหมด

    • ในปี 2023 เหมือนจะแยกเรื่องไร้สาระที่ AI เขียนออกได้ยากกว่านี้ ผมจำไม่ได้ด้วยซ้ำว่ามันเริ่มล้นขนาดนี้ตั้งแต่เมื่อไร

  • เมื่อเวลาผ่านไป ผมเริ่มแยกคอนเทนต์ที่ AI สร้างได้อย่างรวดเร็ว (โดยเฉพาะภาพ ข้อความ และโค้ด) บทความนี้เองก็มีกลิ่น 'สไตล์ AI' ตั้งแต่ต้นจนจบ ผมว่า badger รับมือได้อย่างเป็นมืออาชีพมาก และก็สงสัยว่า Linus Torvalds จะตอบสนองยังไง

    • เคสนี้ชัดเจนมากจนจับได้ทันที แต่พอคิดว่าอนาคตมันจะยิ่งแนบเนียนขึ้นเรื่อยๆ ก็ขนลุก

    • มองอีกมุม บางครั้งก็มีคนที่ถึงแม้จะไม่ได้เป็น AI ชัดๆ แต่ก็รีบตัดสินว่าเป็น AI อยู่ดี มันให้ความรู้สึกเหมือนกลไกป้องกันตัวของอีโก้ชนิดหนึ่ง ที่ไม่อยากเผชิญข้อมูลใหม่หรือความจริงที่ไม่สอดคล้องกับการรับรู้หรือวิธีคิดของตัวเอง เช่น ไม่นานมานี้มีวิดีโอที่เห็นถุงสีดำสองใบถูกโยนออกมาจากหน้าต่างทำเนียบขาว แล้วทรัมป์ก็รีบบอกทันทีว่า "AI ปลอมขึ้นมา" ไม่ว่ามันจะจริงหรือปลอม การโทษ AI แบบส่งเดชและใช้เป็นเครื่องมือโกหกก็ดูเป็นรูปแบบใหม่อย่างหนึ่ง ผมคิดว่าการตอบสนองทันทีว่า "นี่คือ AI" สู้พูดว่า "จะลองตรวจดูก่อน" แล้วค่อยไปต่อยังจะสร้างสรรค์กว่า สุดท้ายวัฒนธรรมที่โทษ AI แม้ในเรื่องที่ไม่เกี่ยวจะค่อยๆ ล้างสมองสาธารณะ ทำให้คนเมินประเด็นสำคัญจริงๆ ด้วยการยืนยันว่าเป็นของปลอมจาก AI เหมือนในนิยาย 1984 ที่สงครามไม่เคยจบ แต่บางครั้งก็หายไปและถูกทำให้ดูเหมือนไม่มีอยู่จริง สื่อจริง/ปลอมที่ AI สร้างและการปลุกปั่นสาธารณะที่ตามมาน่าจะยิ่งรุนแรงขึ้นในอนาคต

  • ทัศนคติแบบคิดว่าตัวเองฉลาดกว่านักพัฒนาสมัย trilobite เพียงเพราะ "รู้จัก AI" นี่แหละที่น่าจะสร้างปัญหาเพิ่มขึ้นเรื่อยๆ ดังนั้นผมคิดว่าการที่โรงเรียนประถมไม่ให้ใช้เครื่องคิดเลขในช่วงแรกก็มีเหตุผลของมัน

    • มันเหมือนกับการอ้างว่า "ผมรู้จัก React ดังนั้นผมฉลาดกว่านักเขียนโค้ดก่อนยุคเว็บแอปบูม"

  • ผมคิดว่าน่าจะเก็บเงินจากผู้ใช้สำหรับการส่งรายงานช่องโหว่ ไม่ว่าจะเป็น AI หรือมนุษย์ก็ตาม พวกสแปมเมอร์สามารถผลิตงานของตัวเองจำนวนมหาศาลได้ในต้นทุนที่ต่ำมาก แล้วโยนให้คนอื่นเป็นฝ่ายตรวจสอบ บางครั้งก็อาจมีผลลัพธ์ที่มีความหมายโผล่มาได้บ้าง จนดูเหมือนโดยรวมแล้วมีประโยชน์ต่อสังคม แต่ภาพรวมจริงๆ เป็นลบต่อสังคม โมเดลนี้จะอยู่ไม่ได้หากการส่งรายงานมีต้นทุน

    • แบบนั้นดูจะเป็นวิธีมาตรฐานที่ทำให้คนส่งอะไรไม่ได้มากกว่า

    • ผมคิดว่าถ้าเก็บเงินมัดจำเล็กน้อยตอนแจ้งรายงานมันน่าจะใช้ได้ดี ถ้ามีคนเจอบั๊ก cURL ร้ายแรงจริง เขาก็น่าจะยอมวางมัดจำ $2~5 เพื่อรายงานอยู่แล้ว (ยิ่งมีโอกาสสูงที่จะได้รางวัลคืนในตอนท้ายด้วย)

  • ครูทุกวันนี้ต้องเจอสถานการณ์ที่นักเรียนใช้ AI แทบทุกวิชาอยู่แล้วแทบทุกวัน มันเหมือนกันทุกอย่างกับเรื่องนี้

    • งั้นก็จัดการแบบเดียวกับที่ครูจัดการนักเรียนที่ทำผิดกฎมาตั้งแต่สมัยก่อนก็ได้ไม่ใช่หรือ

  • ได้ยินมาว่า "ผู้รายงานโดนแบนแล้วและเหมือนจะลบบัญชีไปด้วย" เรื่องนี้เลยชวนกังวลว่าอาจเป็นการโจมตีแบบฟิชชิง (ทดสอบการป้องกัน) คล้ายการแฮ็ก XZ utils ที่ใช้ทดสอบช่องโหว่ในระบบป้องกัน เพราะ cURL ก็เป็นยูทิลิตีสำคัญ วิธีนี้ยังเหมือนสแปม 419 ที่เอาไว้ทดสอบความระแวง ความเร็วในการตอบสนอง และปริมาณงานของทีม สุดท้ายมันเป็นส่วนหนึ่งของปัญหา DDoS ที่ AI สร้างขึ้น และผมคิดว่าอาจต้องมีวิธีตรวจสอบ PR แบบใหม่ เช่น การยืนยันผ่านเครือข่ายชื่อเสียงบน Nostr

    • ช่วงนี้ผมก็เห็นบ่อยใน Reddit (ซับเรดดิตขนาดกลาง) ว่ามีบัญชีใหม่ที่ไม่เคยเห็นมาก่อนโพสต์คำถามเหมือนเอาเศษชิ้นส่วนจากโพสต์เก่าๆ มาปะติดปะต่อกัน หัวข้อก็ใช่อยู่นะ แต่รูปแบบไม่เหมือนคนเขียน และยังสอดไส้ดราม่าแบบมนุษย์บางอย่างเพื่อเรียกปฏิกิริยาด้วย บัญชีพวกนี้แทบจะไม่ตอบคอมเมนต์เลย และถ้าตอบก็มักชัดเจนว่าเป็น AI ด้วยเหตุนี้ตลอดไม่กี่เดือนที่ผ่านมา ผมเลยเลิกติดตามไปอย่างน้อย 6 แห่งแล้ว

  • เมื่อไม่นานมานี้ผมเสียเวลา 15 นาทีไปกับการทดสอบแพตช์ที่อ้างว่าแก้บั๊ก UI บนลินุกซ์ แต่จริงๆ แล้วมันเป็นแค่คำตอบมั่วๆ ที่ยัดคุณสมบัติปลอมซึ่งไม่เกี่ยวข้องมาให้ เขาแค่เอา GitHub issue ไปใส่ใน ChatGPT แล้วส่งผลลัพธ์เข้ามาทันทีโดยไม่ตรวจอะไรเลย ผมไม่เข้าใจจริงๆ ว่าทำไปทำไม

    • สุดท้ายงานแบบนี้ก็มีไว้สร้างประวัติว่า "ผมเคยมีส่วนร่วมกับโปรเจกต์ X, Y, Z" แม้ก่อนมี LLM ก็ยังมี 'การมีส่วนร่วม' ไร้ความหมายอย่าง PR แก้คำสะกดที่แทบไม่ช่วยอะไรอยู่เยอะแล้ว

    • ด้วยเหตุนี้ผมจึงตัดผู้ใช้ AI ออกจากการปฏิสัมพันธ์ตั้งแต่แรก เพราะผมต้องใช้เวลามากขึ้นเป็นสิบเท่าเพื่อทบทวนผลลัพธ์หลอนๆ (ผิดพลาด) ที่พวกเขาสร้างขึ้น จึงไม่มีเหตุผลอะไรให้ต้องไปคุยกับคอมพิวเตอร์

    • ท้ายที่สุดมันก็เป็นแค่การกระทำของใครบางคนที่ไหนสักแห่งเพื่อให้ได้เรือลำที่ใหญ่กว่าเดิมเสมอ