SG.hu·
Ellehetetleníti a vállalati bugvadászati díjakat az MI szemét
Azok a vállalatok, amelyek pénzt fizetnek hackereknek azért, hogy hibákat találjanak a szoftvereikben, egyre nagyobb mennyiségben kapnak gyenge minőségű, MI által generált jelentéseket, ami miatt néhány cég már teljesen fel is függesztette ezeket a programokat.
A "bug bounty" rendszereket működtető vállalatok hosszú ideje független biztonsági kutatókra támaszkodnak a sebezhetőségek felderítésében. Az MI eszközök terjedése azonban most hamis és félrevezető bejelentések tömegével árasztja el őket. A Bugcrowd - amelynek ügyfelei között szerepel az OpenAI, a T-Mobile és a Motorola is - közölte, hogy márciusban három hét alatt több mint négyszeresére nőtt a hozzájuk érkező jelentések száma, amelyek többsége végül hamisnak bizonyult. A Curl, amely széles körben használt eszköz az internetes adatátvitelre, januárban felfüggesztette fizetős bug bounty programját. Indoklásuk szerint "robbanásszerűen elszaporodtak az MI által generált szemétjelentések", és jelentősen romlott a beküldések minősége.
Kiberbiztonsági szakértők szerint a generatív MI fejlődése teljesen átalakítja a bug bounty programok gazdasági működését. Miközben ezek az eszközök lehetővé teszik a tapasztalt kutatók számára, hogy gyorsabban találjanak hibákat, egyúttal drasztikusan lecsökkentik a belépési küszöböt is. Ez automatizált vagy hibás bejelentések áradatát indította el, amelyeket a vállalatoknak egyenként kell átvizsgálniuk. A gyenge minőségű MI jelentések hatalmas növekedése "nagyon gyorsan súlyos problémává válik" - mondta Ross McKerchar, a Sophos kiberbiztonsági vállalat információbiztonsági vezetője. Szerinte "a bug bounty programok megmaradnak, de változniuk kell".
A bug bounty programok népszerűsége a 2000-es évek eleje óta folyamatosan növekszik, a legnagyobb felfedezésekért pedig már hat számjegyű jutalmak járnak. A Google programja tavaly összesen 17 millió dollárt fizetett ki, szemben a 2021-es 7,5 millió dollárral. A vállalat eddigi legnagyobb egyéni jutalma 605 ezer dollár volt, amelyet 2022-ben fizettek ki egy felhasználónak, aki hibát talált az Android mobil operációs rendszerben.
McKerchar szerint a gyenge minőségű beküldések növekedése részben amatőröktől származik, akik először próbálnak hibákat keresni, részben pedig olyan meglévő kutatóktól, akiket "néha félrevezetnek az MI ügynökök". Hozzátette, hogy létezik egy "harmadik csoport" is, amelyet "tapasztalt MI fejlesztők" alkotnak. Ők automatizált "végponttól végpontig működő hibakereső és beküldő rendszereket" építettek, amelyek "teljes káoszt okoznak".
A Curl alkotója, Daniel Stenberg egy blogbejegyzésben azt írta, hogy a "soha véget nem érő szemétáradat" kezelése "komoly mentális terhet jelent", és sok esetben rendkívül hosszú időbe telik a hamis jelentések cáfolata is. A Nextcloud szoftvercég áprilisban függesztette fel bug bounty programját a "gyenge minőségű jelentések hatalmas növekedése" miatt. A vállalat közölte, hogy reményei szerint újraindítják a programot, amint sikerül hatékony módszert találniuk a beküldések szűrésére. Az MI által generált jelentések megugrása éppen akkor történt, amikor az Anthropic múlt hónapban bemutatta Mythos nevű új kiberbiztonsági MI modelljét, amely állításuk szerint gyorsabban képes szoftverhibákat találni, mint az emberek.
A bug bounty programokat működtető vállalatok a probléma kezelésére egyre szigorúbb háttérellenőrzéseket vezetnek be, emellett saját MI ügynököket is fejlesztenek a jelentések előszűrésére. A HackerOne, amelynek hibabejelentő platformját a Goldman Sachs, a Google és az Egyesült Államok Védelmi Minisztériuma is használja, közölte, hogy idén "új ügynökalapú ellenőrzési képességeket" vezettek be annak érdekében, hogy "segítsék a szervezeteket a nagy mennyiségű bejelentés kezelésében", beleértve az olyan modellek által generált jelentéseket is, mint a Mythos. A vállalat szerint a beküldések száma 76 százalékkal emelkedett a márciusig tartó egy évben. Ugyanakkor azt is közölték, hogy a valódi sebezhetőségeket jelző jelentések aránya stabil maradt, és az elmúlt évben végig 25 százalék körül mozgott.
A HackerOne vezérigazgatója, Kara Sprague elmondta, hogy az elmúlt hetekben növekedést tapasztaltak a "jobb minőségű", MI segítségével készített jelentések számában. Hozzátette, hogy az MI által generált beküldések növekedése "nem elég erős érv arra, hogy teljesen elutasítsák ezeket", különösen azért, mert a hackerek a technológia segítségével több hibát képesek felfedezni. A Bugcrowd vezetője, Dave Gerry szerint az olyan fejlesztések, mint az Anthropic Mythos modellje, segíteni fogják az emberi hibavadászokat, nem pedig leváltják őket. "Az MI sok mindenben segítséget fog nyújtani, de az emberi kreativitást soha nem fogja helyettesíteni" - mondta.
A "bug bounty" rendszereket működtető vállalatok hosszú ideje független biztonsági kutatókra támaszkodnak a sebezhetőségek felderítésében. Az MI eszközök terjedése azonban most hamis és félrevezető bejelentések tömegével árasztja el őket. A Bugcrowd - amelynek ügyfelei között szerepel az OpenAI, a T-Mobile és a Motorola is - közölte, hogy márciusban három hét alatt több mint négyszeresére nőtt a hozzájuk érkező jelentések száma, amelyek többsége végül hamisnak bizonyult. A Curl, amely széles körben használt eszköz az internetes adatátvitelre, januárban felfüggesztette fizetős bug bounty programját. Indoklásuk szerint "robbanásszerűen elszaporodtak az MI által generált szemétjelentések", és jelentősen romlott a beküldések minősége.
Kiberbiztonsági szakértők szerint a generatív MI fejlődése teljesen átalakítja a bug bounty programok gazdasági működését. Miközben ezek az eszközök lehetővé teszik a tapasztalt kutatók számára, hogy gyorsabban találjanak hibákat, egyúttal drasztikusan lecsökkentik a belépési küszöböt is. Ez automatizált vagy hibás bejelentések áradatát indította el, amelyeket a vállalatoknak egyenként kell átvizsgálniuk. A gyenge minőségű MI jelentések hatalmas növekedése "nagyon gyorsan súlyos problémává válik" - mondta Ross McKerchar, a Sophos kiberbiztonsági vállalat információbiztonsági vezetője. Szerinte "a bug bounty programok megmaradnak, de változniuk kell".
A bug bounty programok népszerűsége a 2000-es évek eleje óta folyamatosan növekszik, a legnagyobb felfedezésekért pedig már hat számjegyű jutalmak járnak. A Google programja tavaly összesen 17 millió dollárt fizetett ki, szemben a 2021-es 7,5 millió dollárral. A vállalat eddigi legnagyobb egyéni jutalma 605 ezer dollár volt, amelyet 2022-ben fizettek ki egy felhasználónak, aki hibát talált az Android mobil operációs rendszerben.
McKerchar szerint a gyenge minőségű beküldések növekedése részben amatőröktől származik, akik először próbálnak hibákat keresni, részben pedig olyan meglévő kutatóktól, akiket "néha félrevezetnek az MI ügynökök". Hozzátette, hogy létezik egy "harmadik csoport" is, amelyet "tapasztalt MI fejlesztők" alkotnak. Ők automatizált "végponttól végpontig működő hibakereső és beküldő rendszereket" építettek, amelyek "teljes káoszt okoznak".
A Curl alkotója, Daniel Stenberg egy blogbejegyzésben azt írta, hogy a "soha véget nem érő szemétáradat" kezelése "komoly mentális terhet jelent", és sok esetben rendkívül hosszú időbe telik a hamis jelentések cáfolata is. A Nextcloud szoftvercég áprilisban függesztette fel bug bounty programját a "gyenge minőségű jelentések hatalmas növekedése" miatt. A vállalat közölte, hogy reményei szerint újraindítják a programot, amint sikerül hatékony módszert találniuk a beküldések szűrésére. Az MI által generált jelentések megugrása éppen akkor történt, amikor az Anthropic múlt hónapban bemutatta Mythos nevű új kiberbiztonsági MI modelljét, amely állításuk szerint gyorsabban képes szoftverhibákat találni, mint az emberek.
A bug bounty programokat működtető vállalatok a probléma kezelésére egyre szigorúbb háttérellenőrzéseket vezetnek be, emellett saját MI ügynököket is fejlesztenek a jelentések előszűrésére. A HackerOne, amelynek hibabejelentő platformját a Goldman Sachs, a Google és az Egyesült Államok Védelmi Minisztériuma is használja, közölte, hogy idén "új ügynökalapú ellenőrzési képességeket" vezettek be annak érdekében, hogy "segítsék a szervezeteket a nagy mennyiségű bejelentés kezelésében", beleértve az olyan modellek által generált jelentéseket is, mint a Mythos. A vállalat szerint a beküldések száma 76 százalékkal emelkedett a márciusig tartó egy évben. Ugyanakkor azt is közölték, hogy a valódi sebezhetőségeket jelző jelentések aránya stabil maradt, és az elmúlt évben végig 25 százalék körül mozgott.
A HackerOne vezérigazgatója, Kara Sprague elmondta, hogy az elmúlt hetekben növekedést tapasztaltak a "jobb minőségű", MI segítségével készített jelentések számában. Hozzátette, hogy az MI által generált beküldések növekedése "nem elég erős érv arra, hogy teljesen elutasítsák ezeket", különösen azért, mert a hackerek a technológia segítségével több hibát képesek felfedezni. A Bugcrowd vezetője, Dave Gerry szerint az olyan fejlesztések, mint az Anthropic Mythos modellje, segíteni fogják az emberi hibavadászokat, nem pedig leváltják őket. "Az MI sok mindenben segítséget fog nyújtani, de az emberi kreativitást soha nem fogja helyettesíteni" - mondta.