Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
編集可能
2021年4月22日

ミネソタ大からLinuxに送られた脆弱性を含む貢献の件

まとめました。
141
Greg K-H @gregkh

Linux kernel developers do not like being experimented on, we have enough real work to do: lore.kernel.org/linux-nfs/YH%2…

2021-04-21 17:27:05
Yoshimasa Niwa @niw

ミネソタ大学がLinuxから追放された模様... “I will now have to ban all future contributions from your University and rip out your previous contributions” lore.kernel.org/linux-nfs/YH%2…

2021-04-22 01:24:20
Yoshimasa Niwa @niw

簡単に言うと、バグがあるパッチ送って Linux Kernel コミュニティを研究対象として論文を書いた、って感じです。倫理的にどうなのっていう。

2021-04-22 02:10:24
UMNComputerScience @UMNComputerSci

@gregkh The University of Minnesota Department of Computer Science & Engineering takes this situation extremely seriously. We have immediately suspended this line of research. Please see this thread for more details: twitter.com/UMNComputerSci…

2021-04-22 05:14:16
しろやま @fushiroyama

Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed ミネソタ大Linuxコミュニティ追放の件記事になっている。故意に脆弱性パッチを送りつけてそれを論文にした疑いにカーネルチーム激怒

2021-04-22 01:52:02
しろやま @fushiroyama

パッチ送者は「コードは静的解析ツールが生成したものでフィードバックを得たかった」と主張。Linuxチーム側は「何もしないかバグのあるパッチをそれと偽って送信した」と。 ちなみに同大の論文は「偽のコミットによってオープンソースソフトウェアに秘密裏に脆弱性を導入する可能性について」

2021-04-22 01:59:53
しろやま @fushiroyama

github.com/QiushiWu/Qiush… アブストしか読んでないけどOSSはそのオープン性で繁栄したがすべてのパッチを精査するのは困難であり攻撃の余地がある。ここでは実験としてLinuxl Kernelを攻撃対象とすると明記されている。

2021-04-22 02:05:33
Ryou Ezoe(江添 亮) @EzoeRyou

ミネソタ大学がLinuxに意図的に脆弱性を含んだ貢献を試みた上で論文を書いたので、信頼が毀損されたとしてLinuxカーネルからミネソタ大由来の貢献をすべて除去する作業が進められている。マジでやるらしい。 lore.kernel.org/lkml/202104211…

2021-04-22 11:22:59
Ryou Ezoe(江添 亮) @EzoeRyou

問題の論文。研究倫理として勝手にOSSコミュニティを被験者にして意図的に脆弱性を紛れ込ませ、さらにレビューでツッコミが入ると当初嘘の回答をしたことが問題視されている。そりゃ当然だ。 github.com/QiushiWu/Qiush…

2021-04-22 11:24:49
Ryou Ezoe(江添 亮) @EzoeRyou

論文のことについて問い詰められたら、「ちがうよースタティックアナライザーによる警告をみて修正したコードだよーそんなに厳しくまさかり投げるならもう貢献してやんねーよー」 Greg KH「ミネソタ大BANするわ」 lore.kernel.org/linux-nfs/YH%2…

2021-04-22 11:33:43
Ryou Ezoe(江添 亮) @EzoeRyou

論文が出たあとですらなお「初心者への嫌がらせをやめろ」と白々しく言っているようではなぁ。

2021-04-22 11:38:34
Ryou Ezoe(江添 亮) @EzoeRyou

しかし、一部の研究者はレジュメに乗せる業績を水増しするために倫理を考えずに実験するし、実際に手を動かすのは立場の不安定で政治的にも不安定な場所からやってきた文字通り命がかかっている留学生ときている。 twitter.com/EzoeRyou/statu…

2021-04-22 11:42:48
Ryou Ezoe(江添 亮) @EzoeRyou

え、ちょっとまて、論文読むとこの実験ミネソタ大のIRB(倫理審査)を通ったって書いてあるんだけど。こりゃ大学全体がBANされるわな。 github.com/QiushiWu/Qiush…

2021-04-22 12:01:32
Ryou Ezoe(江添 亮) @EzoeRyou

ミネソタ大のこの件の声明として、「今日知った。直ちに調査する」と書いてあるんだが、ミネソタ代のIRBを通ったということは今日知ったわけがあるか。IRBが意味をなしてないか、論文の記述が嘘なのか、いずれにせよ最悪だ。 cse.umn.edu/cs/statement-c…

2021-04-22 12:05:04
Ryou Ezoe(江添 亮) @EzoeRyou

どうもIRBは人間が対象ではないと判断してしまったらしい。パッチを読んでメールの返事を書くのは人間なのに。

2021-04-22 12:39:46
ともしゅ @NSTomoS

ミネソタ大のあれ,研究室が勝手にやったのに大学巻き込んでBANなの可哀想だなって思ったら,倫理委員会がOK出してたらしくて草.審査する側は普段医学的な治験の審査ばかりだろうし,「人じゃないからOK」しちゃったのも分からんでもない感はある…

2021-04-22 12:50:09
Ryou Ezoe(江添 亮) @EzoeRyou

爆笑したコメント。 「こういうアイディアはどうだ。https://t.co/LM4oejaJfcはミネソタ大からのアクセスを検知したらバックドアを仕込んだカーネルをダウンロードさせるんだ。そしてミネソタ大が気がつくか実験して、後に論文を書く。」 https://t.co/C3ewBGVUsW

2021-04-22 12:42:58
Ryou Ezoe(江添 亮) @EzoeRyou

ちょwwwミネソタ大の例の研究者の言い訳面白すぎるんだけど 「IRBに相談したけど人間相手の実験じゃないからOK」 の他に、 www-users.cs.umn.edu/~kjlu/papers/c…

2021-04-22 12:50:48
Ryou Ezoe(江添 亮) @EzoeRyou

「OSSプロジェクトはCode of Conductで、パッチを提出する時にバグを混入させる意図はない、みたいな規約を作るべきだね」 頭どうなってるんだ?

2021-04-22 12:50:48
fjのYog教祖様 @fjs_kyousosama

@EzoeRyou 個人的には 「多くの目があれば大丈夫」 的な事を言ってきたOSSの「信仰」に対する良いカウンターアタックだと思っている。あの寝言、大嫌いなので。 多くの目があるから大丈夫なら、今回のパッチは絶対入らないはずだよな、と。

2021-04-22 12:55:55
Ryou Ezoe(江添 亮) @EzoeRyou

@fjs_kyousosama 今回の論文で名指しされている3つのパッチは結果的に防がれているんですよね。今リバートされているミネソタ大由来の変更は、大半が静的解析の警告を修正したあってもなくても変わらない変更のようで。

2021-04-22 13:01:35
Takami Sato @tkm2261

この論文自体は問題なさそう。その後の研究が問題っぽい。流石にOaklandのreview通った論文でこれが起きたらヤバいなんてもんじゃなかった。 neowin.net/news/linux-ban… twitter.com/niw/status/138…

2021-04-22 03:49:16
Takami Sato @tkm2261

ミネソタ大Linux追放の件どうなるかね。当該人物の態度がGregを激怒させた感があるし、ミネソタ大がごめんなさいするのは確定として、当該人物は著者じゃないしあの論文は大丈夫ぽいけど、じゃあどこまでOK?って話もある。最近ロジスティクス攻撃の研究流行ってるし遅かれ早かれだった感がある

2021-04-22 05:55:01
残りを読む(4)

コメント

Yeme @yer_meme 2021年4月22日
「セキュリティが正しく動作するか確認してやる」って人ん家で暴れて、言い訳が「人じゃなく建物相手だからセーフ」みたいなあれっスからね。 ちゃんとRejectされるの立証出来て良かったっスね🙄
91
緑川⋈だむ @Dam_midorikawa 2021年4月22日
これ、どこの国から資金でてた研究なのかね
8
aa @aa60006342 2021年4月22日
やり方が悪かっただけで信頼を利用したOSSへの攻撃は割とできちゃうと思うから重要な話だよね
59
aa @aa60006342 2021年4月22日
会社でも相手への信頼から雑なレビューしそうになることってあるし気をつけなきゃいかん
1
ですの @_desuno_ 2021年4月22日
単にossで雑なコードレビューすると崩壊するってだけのごく普通の話って側面でもあるのよな
4
ろんどん @lawtomol 2021年4月22日
「なんで研究者個人orチームじゃなくて大学丸ごと追放?」と不思議に思ったら、なんじゃこりゃ
47
お空キレイキレイ @747_bold 2021年4月22日
こういうの許すと次のやつが出てくるから ここらへんでキレてるとこ見せないとってことだなまあ生贄 これで萎縮してcomitterが減るとかないだろう
12
綿棒 @menbou_extra 2021年4月22日
皆で管理する井戸に毒を入れようとしたって感じだろうか?それを研究の為ならOKと大学も認めたと よく分からんけど、これ認めたら井戸は毒入れようとする人の実験場になりそうだね
27
sake @sake_ne_ku 2021年4月22日
図らずとも、バグを意図的に送り込もうとすると、多くの人の目に止まって事前阻止された上に、首謀者たる人間や組織はアク禁を受けるということが証明されたのね とんだ迷惑だったが、ともあれめでたし
59
FX-702P @fx702p 2021年4月22日
共産党からの指示かな?
2
ピュアピュア賢者りょーへー @su_giryo_ta 2021年4月22日
aa60006342 研究としては重要だし、影響が出ないように実験を行うってのなら黙認はしてた ただそれで実際に影響を出すような真似は倫理的にアウトよねぇ…
14
alan smithy @alansmithy2010 2021年4月22日
悪ふざけが笑って許されるのは学内だけだゾ
25
m232796 @m232796 2021年4月22日
人間が対象でないならOKって事は、ミネソタ大では組織や製品に毒を入れて消費者に提供されるか観察する実験はOKするって事か。組織を構成する人間はもとより、Linuxが使われている機器を介して人命に関わる事態が起きる可能性とかも無視なのか。製薬会社へ納入される原料とかミネソタ大の敷地内に入っていく食品や食材を対象に毒を入れて当該組織が毒物に気づくか実験する、みたいなのも許可するのかな?毒を仕込むのは製品であって人間ではないし、観察対象は組織であって人間ではない、って事なら通すんだよな?やべぇ連中……
21
m232796 @m232796 2021年4月22日
まとめの最後に掲載されてる人の見解だと、当該の実験自体は最終的に脆弱性として問題を起こさない(それって脆弱性なのか?)ようにしていて、問題になったのは実験とは特に関係のない貢献者がバグったパッチを提出してしまった挙げ句クソみたいな言い訳して炎上から論文に引火して大炎上、なんだろうけど。でも仮にそうであったとしても、ミネソタ大のIRB(倫理審査)が「人間が相手では無いからOKした」みたいなぶっ飛んだ判断してた事が明るみに出てしまった以上、どうにもならんわな。
31
翡由良 @hyun_hyun_h 2021年4月22日
なかなか面白いことになっとんね
1
D1U7Z605BSKc1f @1_z605 2021年4月22日
久々にこれ使うわ「加減しろ莫迦!」
3
toget9999 @toget9999 2021年4月23日
問題提起のためにわざと迷惑かけるのが世界規模で流行ってんのか?
7
山の手 @Yamano_te 2021年4月23日
「消火装置がちゃんと作動するか」を論文のテーマによその建物にスモークボールを投げ込んだら、そりゃ大問題になるわな。
49
愚者@勇者部満開15No.13 @fool_0 2021年4月23日
要するに公共の場で放火するような実験をミネソタ大のIRB(倫理審査)が認めていたという認識でいいのだろうか。だとしたらその公共の場に選ばれたLinuxがコミュニティからミネソタ大を追放するのも当然過ぎるわな……
17
newmew @r_ochinai 2021年4月23日
心理学実験をやりたいのなら、そういう環境を用意すればいいのに(実際、どうすればいいのかは想像つかないが…)、なんでリアルでやっちゃったのか
2
Mizuta Fumitaka @Humi_TW 2021年4月23日
内部監査的なことを、部外者が黙でやって「これは研究の一環です」って言い訳したらそりゃ怒られるわな(^^;;
4
武装難民 @oratnuhss 2021年4月23日
昭和初期にあった説教強盗みたいな事案だな
0
katasan111 @karasan111 2021年4月23日
そりゃ人んちにウンコ投げつけておいて「あの家は臭くなりました」とか言われたらキレるわ
0
しわ(師走くらげ)@GW多忙でしんでるマン @shiwasu_hrpy 2021年4月23日
Yamano_te しかも生徒の提案を先生がオッケーしちゃってんだもんな。そりゃ学校ごとBANするわ。
9
yunk @yunkya2 2021年4月23日
気の毒なのは、同じミネソタ大でComputer Scienceをやってる他の学生や研究者だよなあ。「LinuxのOSSコミュニティから排除された」なんて不名誉もいいところ。 大学は本気で信用回復に努めないと、ここでCSやろうという人がいなくなりかねないのでは。
20
犬だよ @yaju5123 2021年4月23日
yunkya2 ミネソタ大出身てだけでOSSコミュニティから排除されるのは嫌過ぎるなあ……。死刑宣告までは行かないけど、OSS中心のプロダクト開発がメジャーになる昨今だとかなり大きなハンディキャップな気がする
5
椎間板ヘルニア @koutaro_18 2021年4月23日
「車いす乗車拒否」問題もそうだけど問題提起だから何をやってもいいという事は無い。しかも、ウソが混じっていたというのが悪質すぎる。
8
ゆう @boketsukkomi 2021年4月23日
こんなのニンジャをけしかけられても文句言えないでしょ
1
謎のおじさんAHO @aki8ara 2021年4月23日
最初は「アカデミックな研究の一環だし、まあいいか」でお目こぼしされてたのに、しつこくやって最終的にキーマンを激怒させたと。OSS開発は「人間関係」が重要な要素でそれがモチベーションになってる面もあるから、フリーライドだけならまだしも、余計な手間暇かけさせた上にオメーらの口の利き方がなってねえ!と逆切れしたらそりゃ追放にもなる。
8
hatano @_hatano_ 2021年4月23日
自分の大学の倫理審査会への攻撃実験だけで満足すれば良かったのに。
6
denev @_denev_ 2021年4月23日
「キーマンを激怒させた」ことが、問題の9割を占めている感じがする。
5
AOKI, Yasuhiro @aokiybkt 2021年4月24日
IRBの判断は「承認(approval)」ではなく「審査対象外(exemption)」ということのように読めますね。「対象外」という判断の是非は問われるでしょうし,両者の違いは部外者には(実は当事者であっても)分かりづらいのですが。
1
平尾 由矢(パブリックエネミー) @astray000 2021年4月27日
ミネソタ大のお偉いさんがグレッグ氏に謝ったけど、グレッグは謝罪に対して「この件に関しては書簡を送ってる。そこには信頼回復に関しての事が書いてあった筈だ。それが実際の行動として見られるまでは私からは何も言うべきことはない」とクッソ頑なです。残当ですね。
3
愚民Artane.🦀@今上陛下より上の原発天皇陛下万歳!後、コロナは風邪じゃない@経験者は語る @Artanejp 2021年4月30日
aki8ara しかも、むちゃくちゃデカいコミュニティなんで、下手にお目こぼし出来ないですしね(´・ω・`)悪い前例作れない(´・ω・`)
0
佐渡災炎 @sadscient 2021年5月1日
なんでこのツイート入れてないのかが分からん。これが最もわかりやすいのに。 https://twitter.com/EzoeRyou/status/1385065128551276545
0