Штучны інтэлект паскарае пошук уразлівасцей і стварэнне эксплойтаў — гэта дапамагае даследчыкам бяспекі хутчэй знаходзіць багі, але тыя ж інструменты атрымліваюць і хакеры, таму кампаніям даводзіцца апрацоўваць больш справаздач і хутчэй выпускаць выпраўленні.
Штучны інтэлект паскарае пошук уразлівасцей і стварэнне эксплойтаў — гэта дапамагае даследчыкам бяспекі хутчэй знаходзіць багі, але тыя ж інструменты атрымліваюць і хакеры, таму кампаніям даводзіцца апрацоўваць больш справаздач і хутчэй выпускаць выпраўленні.
Wired адзначае, што раней праграмы bug bounty — выплаты за знойдзеныя ўразлівасці — развіваліся паступова. Напрыклад, Apple запусціла такую праграму ў 2016 годзе з максімальнай узнагародай $200 000. У 2019 годзе столь вырасла да $1 мільёна, а ў мінулым годзе — да $2 мільёнаў. Цяпер рынак зноў мяняецца: ШІ рэзка паскарае пошук уразлівасцей і павялічвае колькасць заявак.
Незалежны даследчык кібербяспекі Джозэф Тэкер кажа, што ўжо адпраўляе значна больш справаздач, чым раней. «Я, верагодна, адправіў утрая больш багаў, чым да гэтага часу летась», — сказаў ён. Паводле ягонай ацэнцы, буйныя кампаніі накшталт Google могуць пачаць траціць на выплаты за багі «ў два–дзесяць разоў больш», чым раней.
Паводле даследчыка, тэхналагічныя гіганты здольны вытрымаць такі рост нагрузкі, але большасці кампаній будзе цяжэй. Цяпер даследчыкі і ШІ-агенты знаходзяць шмат адносна даступных уразлівасцяў, але праз год іх можа стаць менш: значная частка такіх багаў ужо будзе закрыта. Тады кампаніі, магчыма, зноў павысяць выплаты за больш складаныя знаходкі.
ШІ мяняе не толькі працу «белых» даследчыкаў, але і паводзіны атакуючых. Калі мадэлі дапамагаюць хутчэй знаходзіць уразлівасці і ствараць інструменты для эксплуатацыі, распрацоўшчыкам давядзецца хутчэй выпускаць патчы. Гэта можа паўплываць нават на прывычныя правілы раскрыцця ўразлівасцей, напрыклад на 90-дзённае акно паміж выяўленнем бага і яго публічным раскрыццём.
Даследчык бяспекі Хіманшу Ананд сфармуляваў гэта так: «90-дзённае акно адказнага раскрыцця стваралася для свету, дзе людзей, якія знаходзяць багі, было мала, а распрацоўка эксплойтаў была павольнай. Гэты свет знік. LLM сціснулі абодва тэрміны».
Google ужо фіксуе прыкметы такога зруху. Даследчыкі кампаніі паведамілі, што назіралі спробы кіберзлачынцаў выкарыстаць раней невядомую ўразлівасць, распрацаваную з дапамогай ШІ-інструментаў, для абыходу двухфактарнай аўтэнтыфікацыі ў open-source-платформе сістэмнага адміністравання. Google апавясціла распрацоўшчыка, і той выпусціў выпраўленне.
Галоўны аналітык Google Threat Intelligence Group Джон Халткуіст расказаў, што асноўная маса інцыдэнтаў для кампаній па-ранейшаму звязаная не з дзяржаўнымі хакерамі, а з кіберзлачынцамі. Таму пашырэнне доступу злачынных груп да нулявых уразлівасцяў можа быць асабліва небяспечным. «Не варта недаацэньваць наступствы таго, што больш злачынцаў атрымаюць zero-day у свае рукі», — сказаў Халткуіст.
Пры гэтым рост ліку ШІ-згенераваных справаздач ужо стварае праблемы. Праект Curl у студзені закрыў сваю bug bounty-праграму на HackerOne пасля патоку нізкаякасных заявак. Распрацоўшчыкі заявілі, што праграма стала занадта моцна матываваць людзей шукаць або нават прыдумляць «праблемы», ствараючы перагрузку і злоўжыванні.
Падобную праблему заўважылі і ў Linux-супольнасці. Лінус Торвальдс напісаў, што вядомая рассылка па бяспецы Linux стала «амаль цалкам некіравальнай» праз вялікую колькасць паўтаральных і ШІ-згенераваных паведамленняў пра багі.
Аднак сітуацыя неадназначная. Заснавальнік Curl Даніэль Стэнберг пазней адзначыў, што якасць справаздач пачала паляпшацца. Па яго словах, праект амаль перастаў атрымліваць «AI slop» — нізкаякасныя ШІ-згенераваныя паведамленні. Замест гэтага стала прыходзіць усё больш добрых справаздач, амаль усе з якіх падрыхтаваны з дапамогай ШІ. Але частата такіх паведамленняў усё роўна стварае сур’ёзную нагрузку на каманду.
Буйныя кампаніі ўжо перабудоўваюць свае праграмы выплат. У канцы красавіка Google абнавіла праграмы ўзнагарод за ўразлівасці ў Chrome і Android: па некаторых катэгорыях выплаты знізілі, па іншых — павысілі. Кампанія патлумачыла гэта змяненнем ландшафту даследаванняў бяспекі на фоне развіцця ШІ і жаданнем плаціць больш за самыя складаныя і значныя ўразлівасці.
Некаторыя эксперты лічаць, што моцныя даследчыкі па-ранейшаму змогуць зарабляць на праграмах bug bounty. Але адначасова расце патрэба ў пошуку ўразлівасцей у публічнай інфраструктуры і крытычна важных сістэмах, якія часта атрымліваюць менш увагі, чым прадукты буйных тэхналагічных кампаній.
Тэхнічны дырэктар воблачнай security-кампаніі Edera Алекс Зенла лічыць, што ШІ мяняе рынак, але не робіць чалавека непатрэбным. «Гэта мяняе дынаміку індустрыі bug hunting, але ўсё яшчэ абсалютна патрабуе чалавечага часу», — сказаў ён.
У той жа час частка спецыялістаў кажа, што аднімі патчамі не абысціся. Калі ШІ паскарае пошук уразлівасцей і для абаронцаў, і для атакуючых, кампаніям давядзецца не толькі хутчэй выпраўляць багі, але і мяняць архітэктуру сістэм так, каб цэлыя класы памылак станавіліся менш небяспечнымі.
«Нельга выбрацца з гэтага, проста бясконца ўсталёўваючы патчы, — сказаў даследчык бяспекі Нільс Провас. — Трэба будаваць інфраструктуру, якая робіць як мага больш багаў нязначнымі».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.