Искусственный интеллект ускоряет поиск уязвимостей и создание эксплойтов, это помогает исследователям безопасности быстрее находить баги, но те же инструменты получают и хакеры, поэтому компаниям приходится обрабатывать больше отчетов и быстрее выпускать исправления.
Искусственный интеллект ускоряет поиск уязвимостей и создание эксплойтов, это помогает исследователям безопасности быстрее находить баги, но те же инструменты получают и хакеры, поэтому компаниям приходится обрабатывать больше отчетов и быстрее выпускать исправления.
Wired отмечает, что ранее программы bug bounty — выплаты за найденные уязвимости — развивались постепенно. Например, Apple запустила такую программу в 2016 году с максимальной наградой $200 000. В 2019 году потолок вырос до $1 миллиона, а в прошлом году — до $2 миллионов. Теперь рынок снова меняется: ИИ резко ускоряет поиск уязвимостей и увеличивает количество заявок.
Независимый исследователь кибербезопасности Джозеф Тэкер говорит, что уже отправляет намного больше отчетов, чем раньше. «Я, вероятно, отправил в три раза больше багов, чем к этому времени в прошлом году», — сказал он. По его оценке, крупные компании вроде Google могут начать тратить на выплаты за баги «в два–десять раз больше», чем раньше.
По словам исследователя, технологические гиганты способны выдержать такой рост нагрузки, но большинству компаний будет сложнее. Сейчас исследователи и ИИ-агенты находят много относительно доступных уязвимостей, но через год их может стать меньше: значительная часть таких багов уже будет закрыта. Тогда компании, возможно, снова повысят выплаты за более сложные находки.
ИИ меняет не только работу «белых» исследователей, но и поведение атакующих. Если модели помогают быстрее находить уязвимости и создавать инструменты для эксплуатации, разработчикам придется быстрее выпускать патчи. Это может повлиять даже на привычные правила раскрытия уязвимостей, например на 90-дневное окно между обнаружением бага и его публичным раскрытием.
Исследователь безопасности Химаншу Ананд сформулировал это так: «90-дневное окно ответственного раскрытия создавалось для мира, где людей, находящих баги, было мало, а разработка эксплойтов была медленной. Этот мир исчез. LLM сжали оба срока».
Google уже фиксирует признаки такого сдвига. Исследователи компании сообщили, что наблюдали попытки киберпреступников использовать ранее неизвестную уязвимость, разработанную с помощью ИИ-инструментов, для обхода двухфакторной аутентификации в open-source-платформе системного администрирования. Google уведомила разработчика, и тот выпустил исправление.
Главный аналитик Google Threat Intelligence Group Джон Халткуист рассказал, что основная масса инцидентов для компаний по-прежнему связана не с государственными хакерами, а с киберпреступниками. Поэтому расширение доступа преступных групп к нулевым уязвимостям может быть особенно опасным. «Не стоит недооценивать последствия того, что больше преступников получат zero-day в свои руки», — сказал Халткуист.
При этом рост числа ИИ-сгенерированных отчетов уже создает проблемы. Проект Curl в январе закрыл свою bug bounty-программу на HackerOne после потока низкокачественных заявок. Разработчики заявили, что программа стала слишком сильно мотивировать людей искать или даже выдумывать «проблемы», создавая перегрузку и злоупотребления.
Похожую проблему заметили и в Linux-сообществе. Линус Торвальдс написал, что известная рассылка по безопасности Linux стала «почти полностью неуправляемой» из-за большого количества повторяющихся и ИИ-сгенерированных сообщений о багах.
Однако ситуация неоднозначна. Основатель Curl Даниэль Стенберг позже отметил, что качество отчетов начало улучшаться. По его словам, проект почти перестал получать «AI slop» — низкокачественные ИИ-сгенерированные сообщения. Вместо этого стало приходить все больше хороших отчетов, почти все из которых подготовлены с помощью ИИ. Но частота таких сообщений все равно создает серьезную нагрузку на команду.
Крупные компании уже перестраивают свои программы выплат. В конце апреля Google обновила программы вознаграждений за уязвимости в Chrome и Android: по некоторым категориям выплаты снизили, по другим — повысили. Компания объяснила это изменением ландшафта исследований безопасности на фоне развития ИИ и желанием платить больше за самые сложные и значимые уязвимости.
Некоторые эксперты считают, что сильные исследователи по-прежнему смогут зарабатывать на программах bug bounty. Но одновременно растет потребность в поиске уязвимостей в публичной инфраструктуре и критически важных системах, которые часто получают меньше внимания, чем продукты крупных технологических компаний.
Технический директор облачной security-компании Edera Алекс Зенла считает, что ИИ меняет рынок, но не делает человека ненужным. «Это меняет динамику индустрии bug hunting, но все еще абсолютно требует человеческого времени», — сказал он.
В то же время часть специалистов говорит, что одних патчей будет недостаточно. Если ИИ ускоряет поиск уязвимостей и для защитников, и для атакующих, компаниям придется не только быстрее исправлять баги, но и менять архитектуру систем так, чтобы целые классы ошибок становились менее опасными.
«Нельзя выбраться из этого, просто бесконечно устанавливая патчи, — сказал исследователь безопасности Нильс Провос. — Нужно строить инфраструктуру, которая делает как можно больше багов несущественными».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.