ИИ завалил программы bug bounty мусорными отчетами

Число отчетов в программах bug bounty резко выросло, и большинство из них оказались низкокачественными — их создали нейросети. Bugcrowd сообщил, что за три недели марта число отчетов увеличилось в четыре раза, причем большинство оказалось ложными. HackerOne отметил, что за год до марта отчеты выросли на 76%, но реальных уязвимостей среди них осталось всего 25%.

Почему так происходит?

Отчеты, сгенерированные ИИ, мешают работе. Некоторые компании даже приостановили свои программы: Curl, инструмент для передачи данных, сделал это в январе из-за «взрыва отчетов от ИИ». Группа Nextcloud остановила программу в апреле, ссылаясь на «массовый рост низкокачественных отчетов», и теперь ждет эффективные методы фильтрации. Эксперты по кибербезопасности отмечают, что ИИ-инструменты упрощают поиск уязвимостей, позволяя новичкам генерировать сотни отчетов, которые заглушают работу профессионалов.

Новая экономика поиска уязвимостей

Раньше bug bounty программы щедро платили: Google выплатил $17 млн в 2023 году. В 2022 году Google выплатил $605 000 в качестве крупнейшей разовой премии за уязвимость в Android. Однако ИИ-инструменты дали фору новым исследователям. Опытные разработчики создали автоматизированные системы, которые провоцируют «абсолютный хаос» в отчетности, полностью меняя ландшафт поиска багов.

Как компании справляются с этим?

Платформы и заказчики адаптируются к новым реалиям. Anthropic выпустила Mythos — ИИ-модель для поиска уязвимостей, которая работает быстрее человека. HackerOne Platform добавила «возможности валидации агентов» для управления потоком отчетов, особенно тех, что созданы моделями вроде Mythos.

Компании внедряют новые стратегии: усиливают проверку участников для контроля качества и создают внутренние ИИ-агенты для автоматической фильтрации и проверки отчетов. Такая сортировка снижает нагрузку на людей. Несмотря на шум из низкокачественных отчетов, ИИ помогает и опытным исследователям быстрее находить сложные уязвимости. CEO HackerOne Кара Спрэг отмечает, что благодаря ИИ растет и число качественных, глубоких отчетов, что доказывает их пользу.

Будущее bug bounty

Программы bug bounty неизбежно изменятся: компаниям придется найти баланс между борьбой со спамом и использованием ИИ для усиления навыков исследователей. Человеческое мышление остается ключевым. CEO Bugcrowd Дэйв Джерри считает, что ИИ-модели, такие как Mythos, дополнят охотников за уязвимостями, а не заменят их, подчеркивая незаменимость человеческой креативности.

Ранее по теме
Stripe запустила Link — защищенный кошелек для ИИ-агентов

Больше новостей в нашем Телеграм. Подпишись!

Ссылка на источник тык.