Era AI wywołuje wyścig zbrojeń w łowieniu błędów oprogramowania

Era sztucznej inteligencji wywołuje prawdziwy wyścig zbrojeń w dziedzinie łowienia błędów w oprogramowaniu. Jeszcze dekadę temu programy nagradzania badaczy za zgłaszanie podatności dopiero wchodziły do głównego nurtu, a dziś ich ekonomia ulega radykalnej transformacji. Jak informuje magazyn WIRED, modele AI coraz sprawniej identyfikują luki bezpieczeństwa i tworzą dla nich exploity, co zalewa programy bug bounty zgłoszeniami jednocześnie zwiększając liczbę błędów znajdowanych przez same organizacje.

Niezależny badacz bezpieczeństwa Joseph Thacker zauważa dramatyczny wzrost aktywności — zgłosił trzykrotnie więcej błędów niż w analogicznym okresie poprzedniego roku. Przewiduje, że firmy takie jak Google wydadzą na wypłaty od dwóch do dziesięciu razy więcej niż rok temu.

Kluczowe wnioski

• Badacze zgłaszają trzykrotnie więcej błędów niż rok temu dzięki wykorzystaniu narzędzi AI do automatycznego skanowania systemów
• Giganci technologiczni radykalnie podnoszą wypłaty — Apple zwiększyło maksymalną nagrodę z 200 tysięcy dolarów w 2016 roku do 2 milionów w ubiegłym roku
• Przestępcy już wykorzystują AI do odkrywania zero-day — Google odnotowało pierwszy udokumentowany przypadek ataku z użyciem exploita wygenerowanego przez AI
• Standardowy 90-dniowy okres ujawniania podatności może okazać się nieadekwatny w świecie, gdzie AI dramatycznie przyspiesza odkrywanie i eksploatację błędów
• Niektóre projekty, jak Curl, całkowicie zakończyły programy bug bounty z powodu zalania niskojakościowymi zgłoszeniami generowanymi przez AI

Zmiana ekonomii bug bounty

Transformacja rynku łowienia błędów jest bezprecedensowa. Apple, które uruchomiło swój program bug bounty w 2016 roku z maksymalną nagrodą 200 tysięcy dolarów, podnosiło ją do miliona w 2019 roku, a następnie do 2 milionów w ubiegłym roku. Thacker przewiduje, że wielkie korporacje technologiczne poradzą sobie z tym finansowym naciskiem, ale większość firm nie będzie w stanie sprostać rosnącym kosztom.

Paradoksalnie, badacz spodziewa się, że po początkowej fali zgłoszeń „nisko wiszących owoców” nastąpi spadek liczby raportów, ponieważ AI znajdzie większość łatwych do wykrycia błędów. To może zmusić firmy do ponownego podniesienia wypłat, aby przyciągnąć badaczy skupiających się na bardziej skomplikowanych podatnościach.

Pierwszye dowody na wykorzystanie AI przez przestępców

Google Threat Intelligence Group odnotowało przełomowy moment — pierwsz udokumentowany przypadek wykorzystania AI przez przestępców do odkrycia i eksploatacji zero-day. Jak relacjonuje John Hultquist, główny analityk grupy, „wszyscy zakładaliśmy, że to już się dzieje, a to nasz pierwszy dowód na to, że rzeczywiście tak jest”.

Przestępcy próbowali wykorzystać wcześniej nieznaną podatność, którą opracowali przy użyciu narzędzi AI, do ominięcia dwufaktorowej autoryzacji na platformie administracji systemów open source. Google szybko powiadomiło twórców, którzy wydali poprawkę, ale incydent pokazał nową rzeczywistość cyberbezpieczeństwa.

Hultquist podkreśla wagę tego zjawiska: „Wykorzystanie zero-day przez przestępców było dotąd dość ograniczone, a ci którzy je stosowali odnosili duże sukcesy, więc nie powinniśmy lekceważyć wpływu większej liczby przestępców z zero-day w rękach”.

Wyzwania dla tradycyjnych procesów

Intensyfikacja wykorzystania AI stawia pod znakiem zapytania ustalone standardy branżowe. Jak napisał badacz bezpieczeństwa Himanshu Anand: „90-dniowe okno odpowiedzialnego ujawniania zostało stworzone dla świata, w którym osoby znajdowące błędy były rzadkie, a tworzenie exploitów było powolne. Ten świat już nie istnieje. Duże modele językowe skompresowały oba te harmonogramy”.

Niektóre projekty już odczuwają skutki tej zmiany. Narzędzie wiersza poleceń Curl zakończyło w styczniu swój program bug bounty z powodu zalania niskojakościowymi zgłoszeniami generowanymi przez AI. Twórca Linuksa, Linus Torvalds, skarżył się, że słynna lista mailingowa bezpieczeństwa Linuksa stała się „niemal całkowicie niemożliwa do zarządzania” z powodu dużej liczby duplikatów raportów AI.

Jednak sytuacja wydaje się stabilizować — Daniel Stenberg, założyciel Curl, w kwietniu zauważył poprawę jakości zgłoszeń: „W ciągu ostatnich miesięcy przestaliśmy otrzymywać śmieciowe raporty bezpieczeństwa AI. Zamiast tego dostajemy coraz większą liczbę naprawdę dobrych raportów bezpieczeństwa, prawie wszystkie wykonane z pomocą AI”.

Era AI fundamentalnie zmienia krajobraz cyberbezpieczeństwa, tworząc wyścig między obrońcami a atacjącymi. Podczas gdy automatyzacja odkrywania podatności może ostatecznie poprawić ogólny stan bezpieczeństwa oprogramowania, wymaga to dostosowania procesów, budżetów i czasookusonalnych standardów do nowej rzeczywistości.