«Το πρόβλημα του έθνους-κράτους είναι πολύ σοβαρό και πραγματικό, αλλά η πλειονότητα των υποθέσεων που χειρίζεται η οργάνωση εξακολουθούν να διαπράττονται από εγκληματίες και πολλές από αυτές τις υποθέσεις είναι πολύ σοβαρές», πρόσθεσε ο Hultquist. «Δεν νομίζω ότι πρέπει να υποτιμούμε τον αντίκτυπο του να έχουμε τις μηδενικές ημέρες στα χέρια περισσότερων εγκληματιών, επειδή η χρήση των μηδενικών ημερών από εγκληματίες είναι αρκετά περιορισμένη και όσοι τις χρησιμοποιούν τείνουν να είναι πολύ επιτυχημένοι».
Αλλά οι καιροί αλλάζουν για τους ερευνητές που βγάζουν τα προς το ζην από το κυνήγι ζωυφίων. Το εργαλείο γραμμής εντολών Curl τερμάτισε το πρόγραμμα επιβράβευσης σφαλμάτων (που εκτελείται μέσω της υπηρεσίας τρίτου κατασκευαστή HackerOne) τον Ιανουάριο, αφού πλημμύρισε από υποβολές χαμηλής ποιότητας που δημιουργήθηκαν από τεχνητή νοημοσύνη.
«Έχουμε καταλήξει στο αυστηρό συμπέρασμα ότι τα bug bounties παρέχουν πάρα πολλά κίνητρα στους ανθρώπους να βρουν και να κατασκευάσουν κακόβουλα «θέματα» που προκαλούν υπερφόρτωση και απάτη», ανέφερε η ομάδα. έγραψα «Εξακολουθούμε να εκτιμούμε πολύ και να εκτιμούμε τις έγκυρες αναφορές ευπάθειας», προσέθεσε εκείνη την εποχή.
Την περασμένη εβδομάδα, ο δημιουργός Linux και κύριος προγραμματιστής Linus Torvalds έγραψα Μια δημοφιλής λίστα αλληλογραφίας ασφαλείας Linux έχει καταστεί “σχεδόν εντελώς αδύνατη” λόγω ενός μεγάλου αριθμού διπλών αναφορών σφαλμάτων AI.
Αλλά τον Απρίλιο, ο ιδρυτής και κύριος προγραμματιστής της Curl, Daniel Stenberg, δήλωσε στο LinkedIn: θέση Έχουμε δει βελτίωση στην ποιότητα των υποβολών μας. «Τους τελευταίους μήνες, το Karl Project σταμάτησε να ανακτά αναφορές ασφάλειας τεχνητής νοημοσύνης», έγραψε. “Αντίθετα, βλέπουμε έναν αυξανόμενο αριθμό πολύ καλών αναφορών ασφαλείας, οι περισσότερες από τις οποίες γίνονται με τη βοήθεια της τεχνητής νοημοσύνης. Οι αναφορές υποβάλλονται πιο συχνά από ποτέ, επιβαρύνοντας μας σοβαρά.”
Και στα τέλη Απριλίου, η Google ανακοινώθηκε Η εταιρεία ανακοίνωσε μια γενική αναθεώρηση των προγραμμάτων επιβράβευσης ευπάθειας για Chrome και Android, μειώνοντας τις πληρωμές για ορισμένες κατηγορίες σφαλμάτων και αυξάνοντας τις πληρωμές για άλλες.
«Καθώς το τοπίο της έρευνας ασφάλειας εξελίσσεται με την τεχνητή νοημοσύνη, πραγματοποιούμε αλλαγές στα προγράμματά μας για να διασφαλίσουμε ότι αντιμετωπίζουμε τις πιο δύσκολες και επικίνδυνες ευπάθειες στα προϊόντα μας», έγραψε η εταιρεία.
«Νομίζω ότι ένας κυνηγός ζωυφίων 90ου εκατοστημόριου με ειδικές δεξιότητες μπορεί πάντα να κάνει μια ανακάλυψη και να πληρωθεί από μια μεγάλη εταιρεία», λέει ο καρδιολόγος Jonathan Dunn, ο οποίος είναι επίσης κυνηγός επικηρυγμένων ζωυφίων. «Αλλά ακόμη και με την τεχνητή νοημοσύνη, πρέπει να δώσουμε στους ερευνητές δεοντολογίας σημαντικά κίνητρα για να ανακαλύψουν πράγματα σχετικά με τις δημόσιες υποδομές και άλλα κρίσιμα συστήματα, διαφορετικά μπορεί να μην τραβούν την αρκετή προσοχή από τους υποστηρικτές».
Προς το παρόν, οι περισσότεροι οργανισμοί φαίνονται έτοιμοι να ρίξουν οποιαδήποτε λύση μπορούν να σκεφτούν στο πρόβλημα (και να επωφεληθούν) της γρηγορότερης εύρεσης σφαλμάτων. «Αυτό αλλάζει τη δυναμική της βιομηχανίας του κυνηγιού σφαλμάτων, αλλά εξακολουθεί να απαιτεί ανθρώπινο χρόνο», δήλωσε ο Alex Zenla, επικεφαλής τεχνολογίας στην εταιρεία ασφάλειας cloud Edera.
Νωρίτερα αυτό το μήνα, το Anthropic HackerOne Bug Bounty Επιτρέψτε στους ερευνητές να υποβάλουν ευρήματα σχετικά με τα συστήματά τους και τα μοντέλα Claude AI. Ωστόσο, ένας αυξανόμενος αριθμός ερευνητών υποστηρίζει ότι απαιτούνται δομικές άμυνες για την αντιμετώπιση του επιταχυνόμενου ρυθμού ανακάλυψης ευπάθειας. Με άλλα λόγια, κατασκευάζουν ψηφιακές λύσεις που είτε εξαλείφουν διαφορετικούς τύπους τρωτών σημείων είτε μειώνουν σημαντικά την πραγματική τους εκμετάλλευση.
«Δεν μπορείτε να διορθώσετε το δρόμο σας από αυτό», λέει ο Niels Provos, ένας μακροχρόνιος μηχανικός ασφαλείας και ερευνητής. «Πρέπει να δημιουργήσουμε μια υποδομή που να κάνει όσο το δυνατόν περισσότερα σφάλματα άσχετα».
