Bug bounty: „Vânătorii de vulnerabilități”, bombardați cu informații incomplete de la AI

Adaugă Go4IT la sursele tale preferate din Google

Companiile care recompensează identificarea vulnerabilităților software, cunoscute sub denumirea de „bug bounty”, se confruntă cu o creștere semnificativă a raportărilor de slabă calitate. Fenomenul este asociat cu utilizarea tot mai frecventă a instrumentelor de inteligență artificială.

Creștere abruptă a raportărilor neconcludente

Platforma Bugcrowd a semnalat o creștere de peste patru ori a numărului de rapoarte primite într-un interval de trei săptămâni, în luna martie. Majoritatea acestor sesizări s-au dovedit a fi eronate.

Situații similare au determinat unele organizații să își suspende temporar programele. Dezvoltatorul instrumentului cURL a anunțat încă din ianuarie oprirea programului său bug bounty, invocând volumul ridicat de rapoarte generate automat și dificultatea de a le verifica.

Schimbări în dinamica programelor de securitate

Experții în securitate cibernetică consideră că evoluția tehnologiilor de tip AI modifică modul de funcționare al acestor programe. Pe de o parte, instrumentele moderne permit identificarea mai rapidă a vulnerabilităților. Pe de altă parte, ele reduc barierele de acces, ceea ce duce la o creștere a numărului de raportări inexacte sau irelevante.

Ross McKerchar, reprezentant al companiei Sophos, a descris fenomenul drept o problemă majoră în expansiune și a subliniat necesitatea adaptării programelor bug bounty la noile condiții.

Presiune asupra companiilor și cercetătorilor

Creșterea numărului de raportări este alimentată atât de utilizatori fără experiență, cât și de cercetători care utilizează instrumente AI fără o verificare riguroasă a rezultatelor. În plus, un segment distinct îl reprezintă dezvoltatorii de sisteme automate care generează și trimit rapoarte în mod continuu.

Daniel Stenberg, creatorul cURL, a menționat impactul semnificativ asupra echipelor care trebuie să analizeze aceste sesizări, atât din punct de vedere al timpului, cât și al efortului.

Suspendări și măsuri de control

Compania Nextcloud a decis suspendarea temporară a programului său bug bounty în luna aprilie, invocând aceeași creștere a raportărilor de slabă calitate. Reluarea programului este condiționată de implementarea unor metode eficiente de filtrare.

În același timp, platforme precum HackerOne au introdus mecanisme automate de validare pentru a gestiona volumul ridicat de sesizări. Deși numărul raportărilor a crescut cu 76% într-un an, proporția celor valide a rămas relativ constantă, la aproximativ 25%.

Rolul inteligenței artificiale în viitor

Lansarea unor modele specializate, precum Mythos dezvoltat de Anthropic, indică o direcție clară către utilizarea AI în identificarea vulnerabilităților software. Reprezentanții industriei consideră că aceste instrumente vor sprijini activitatea cercetătorilor, fără a înlocui însă contribuția umană.

Bug bounty, un element important în securitatea cibernetică

Programele bug bounty rămân un element important în securitatea cibernetică, însă evoluțiile recente impun ajustări. Creșterea volumului de rapoarte generate cu ajutorul inteligenței artificiale obligă companiile să investească în mecanisme mai eficiente de filtrare și validare, pentru a menține eficiența acestor inițiative.