To je brzo popravljeno i objavljeno kao 'CVE-2026-34219' uz priznanje tima. Međutim, šira briga bila je odvojiti prave kukce agenata od onih koji su se samouvjereno maskirali kao takvi.
“Iznenađenje je bilo koliko je malo posla uloženo u njihovo pronalaženje, a koliko je uloženo u razlikovanje pravih grešaka od onih koji su samo izgledali pravi”, napisao je Nikos Baxevanis, autor objave.
Poteškoće su počele s onim što agent proizvodi. Fuzzer, standardni alat koji baca pogrešno oblikovane podatke na softver dok se nešto ne pokvari, vratio je rušenje i zapis o tome gdje se dogodilo, što inženjer može potvrditi za nekoliko minuta.
Agent, međutim, vraća stvoreni narativ. Prati kako se greška može doći, argumentira zašto je važna, predlaže ocjenu ozbiljnosti i daje radni kod koji demonstrira napad. Sve to stiže u tečnoj prozi, čitajući se jednako bez obzira je li kukac stvaran ili izmišljen.
Prema Zakladi, ponavljale su se tri vrste lažno pozitivnih.
Prvi je bio pad koji se događa samo u testnoj verziji, gdje kompajler uključuje sigurnosne provjere koje isporučeni softver ne nosi, tako da se stvarnim korisnicima ništa ne kvari.
Drugi je bio napad koji funkcionira samo ako je opasna vrijednost ručno umetnuta u program, jer svaki put kojim bi autsajder mogao isporučiti vrijednost prvo odbija vrijednost. Treći je proizašao iz formalne verifikacije, prakse matematičkog dokazivanja da se kôd ponaša ispravno, gdje je dokaz prošao pokazujući nešto trivijalno istinito, a recenzentima nije rekao ništa o softveru.









