Через ШІ компанії отримують більше баг-репортів і переглядають виплати

Агентний ШІ швидко змінює ринок bug bounty: дослідники подають більше звітів, компанії переглядають виплати, а зловмисники швидше збирають експлойти, пише WIRED.

Що сталося

Моделі ШІ вже вміють не тільки шукати вразливості в коді, а й допомагати зі створенням експлойтів. Через це програми bug bounty, тобто винагороди за знайдені помилки отримують більше звітів, ніж раніше, а команди безпеки — більше роботи. Змінюється і сама економіка ринку: компанії мають обробляти більший потік заявок, а дослідники — конкурувати в середовищі, де частину роботи вже робить ШІ.

Незалежний дослідник безпеки Джозеф Текер каже, що цього року описав утричі більше багів, ніж торік за той самий період. На його думку, великі компанії на кшталт Google ще можуть витримати такий тиск. Меншим буде складніше. Спочатку ШІ допоможе швидко зібрати «низько висячі фрукти». Але далі помилок такого рівня стане менше, і ринок знову зміниться.

Чому це цікаво

Наприкінці квітня Google оновила свої програми винагород за вразливості для Chrome та Android. Для частини класів помилок виплати зменшили. Для інших — навпаки збільшили. Логіка проста: компанія хоче сильніше винагороджувати найскладніші й найнебезпечніші знахідки.

Google каже, що зафіксувала випадок, коли кіберзлочинці намагалися використати zero-day, створений за допомогою інструментів ШІ, щоб обійти двофакторну автентифікацію в open source-платформі для адміністрування систем. Компанія встигла попередити розробника, і той випустив патч. Але сам кейс став важливим сигналом: ШІ вже працює і на боці атакувальників.

Через це під тиском опиняється і класичне 90-денне вікно відповідального розкриття. Дослідник безпеки Хіманшу Ананд прямо каже: цей підхід створювали для світу, де баг-хантерів було мало, а експлойти робили довго. Тепер LLM стискають обидва цикли. Вразливість можуть знайти швидше. Експлойт для неї — теж.

Источник: vctr.media