Взрыв популярности ИИ-сервисов привел к новой угрозе: программы bug bounty все чаще завалены «мусорными» отчетами, сгенерированными языковыми моделями. Эти отчеты выглядят профессионально, описывают несуществующие уязвимости, но при детальной проверке оказываются полностью вымышленными.
Взрыв популярности ИИ-сервисов привел к новой угрозе: программы bug bounty все чаще завалены «мусорными» отчетами, сгенерированными языковыми моделями. Эти отчеты выглядят профессионально, описывают несуществующие уязвимости, но при детальной проверке оказываются полностью вымышленными.
Влад Ионеску, технический директор стартапа RunSybil, поясняет: «Мы получаем отчеты, которые звучат убедительно, но все придумано ИИ. Люди просто копируют их и отправляют на платформы bug bounty, создавая шум и нагружая экспертов-получателей». Открытый проект Curl уже сталкивался с такими фейковыми отчетами, а разработчики CycloneDX были вынуждены вообще закрыть свою программу bug bounty после наплыва «ИИ-мусора».
Платформы вроде HackerOne и Bugcrowd фиксируют рост числа ложных или малосодержательных отчетов: количество заявок, которые не имеют отношения к реальным уязвимостям, резко увеличилось. «Мы видим рост числа ложных срабатываний, созданных LLM, — говорит сооснователь HackerOne Михиль Принс. — Такие отчеты классифицируются как спам».
В Bugcrowd, одной из крупнейших багбаунти-платформ, отмечают, что большинство отчетов теперь создаются с помощью ИИ, но пока доля низкокачественных заявок не критична. Однако эксперты уверены, что ситуация будет только ухудшаться.
Чтобы противостоять волне фейковых заявок, сами платформы внедряют ИИ-инструменты для предварительной фильтрации и проверки, как это делает новая система Hai Triage от HackerOne. Часть компаний, как Mozilla, пока не фиксируют взрывного роста ИИ-спама, но тенденция очевидна: с развитием ИИ-моделей борьба за «чистоту» баг-репортов будет все больше напоминать схватку двух ИИ — исследовательского и защитного.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.