Компании, которые платят за обнаружение уязвимостей в своём программном обеспечении, столкнулись с потоком низкокачественных отчётов, созданных искусственным интеллектом. Это вынудило некоторые организации полностью приостановить подобные программы.
Организации, использующие схемы вознаграждения за обнаружение ошибок (bug bounty), долгое время полагались на независимых исследователей безопасности. Однако распространение инструментов ИИ теперь перегружает их ложными сведениями.
Платформа Bugcrowd, среди клиентов которой OpenAI, T-Mobile и Motorola, сообщила, что количество полученных отчётов за трёхнедельный период в марте увеличилось более чем в четыре раза, причём большинство из них оказались несостоятельными.
Также отмечается появление опытных специалистов, которые разработали автоматизированные системы для сканирования и отправки отчётов, что создаёт серьёзные проблемы.
Создатель проекта cURL Даниель Стенберг написал в блоге, что этот бесконечный поток некачественной информации наносит серьёзный психологический ущерб и требует много времени для опровержения.
Компания Nextcloud в апреле приостановила свою программу bug bounty из-за резкого увеличения количества низкокачественных отчётов. В организации надеются возобновить программу после разработки эффективной системы фильтрации.
Всплеск сгенерированных ИИ отчётов совпал с запуском в прошлом месяце новой кибермодели Mythos от Anthropic, которая, как утверждается, находит уязвимости в программном обеспечении быстрее человека.
Компании, управляющие программами bug bounty, начали вводить более строгие проверки для борьбы с проблемой, а также создавать ИИ-агентов для сортировки поступающих сообщений.
Платформа HackerOne, обслуживающая Goldman Sachs, Google и Министерство обороны США, сообщила, что в этом году внедрила новые возможности для валидации отчётов, чтобы помочь организациям справляться с большими объёмами данных, включая те, что генерируются такими моделями, как Mythos.
В компании отметили, что количество отправленных отчётов за год по март выросло на 76%. При этом доля сообщений, указывающих на реальные уязвимости, оставалась стабильной на уровне 25%.
Генеральный директор HackerOne Кара Спрейг заявила, что в последние недели наблюдается рост числа «более качественных» отчётов, созданных с помощью ИИ. Она добавила, что рост подобных отправлений не является веской причиной для полного отказа от них, учитывая, что хакеры используют технологию для поиска большего количества ошибок.
Генеральный директор Bugcrowd Дэйв Джерри считает, что такие разработки, как Mythos, будут помогать, а не заменять специалистов по поиску уязвимостей. «ИИ поможет во многих вещах, но мы никогда не заменим человеческое творчество», — сказал он.
