Искусственный интеллект наводняет программы Bug Bounty низкокачественными отчётами

Компании, которые оплачивают поиск уязвимостей в своём программном обеспечении, сталкиваются с массовым наплывом низкокачественных отчётов, сгенерированных искусственным интеллектом. Это вынуждает некоторые организации полностью приостанавливать свои программы вознаграждения за найденные ошибки (bug bounty).

Рост ложных заявок вынуждает приостанавливать программы

В течение долгого времени предприятия, использующие bug bounty-программы, полагались на независимых исследователей кибербезопасности для выявления уязвимостей. Однако появление инструментов на базе искусственного интеллекта привело к перегрузке этих систем бесполезными и ложными заявками.

Так, компания Bugcrowd, среди клиентов которой OpenAI, T-Mobile и Motorola, сообщила, что количество полученных ею отчётов увеличилось более чем в четыре раза за трёхнедельный период в марте. При этом большинство из них оказались ложными.

Утилита Curl, широко используемая для передачи данных в интернете, в январе приостановила свою платную bug bounty-программу. Причиной такого решения стал «взрывной рост отчётов низкого качества, сгенерированных ИИ», а также общее снижение уровня присылаемых материалов.

Влияние ИИ на экономику Bug Bounty

Эксперты в области кибербезопасности отмечают, что развитие генеративного искусственного интеллекта значительно меняет экономику bug bounty-программ. Хотя эти инструменты позволяют опытным исследователям быстрее находить недостатки, они также снижают порог входа для новичков. Это вызывает поток автоматизированных или ошибочных заявок, которые компаниям приходится тщательно отсеивать.

По словам Росса МакКерчара, директора по информационной безопасности кибергруппы Sophos, значительный рост низкокачественных ИИ-отчётов «быстро превращается в серьёзную проблему». Он подчеркнул, что программы вознаграждения за уязвимости «останутся, но им придётся измениться».

Рост числа некачественных заявок, как отметил МакКерчар, происходит как от начинающих энтузиастов, впервые пытающихся найти ошибки, так и от уже опытных исследователей, которые «иногда вводятся в заблуждение инструментами ИИ».

История и масштабы вознаграждений

Популярность bug bounty-программ постоянно росла с начала 2000-х годов. Некоторые схемы предлагают шестизначные суммы за самые значительные открытия. Программа Google, например, в прошлом году выплатила в общей сложности 17 миллионов долларов, что значительно больше, чем 7,5 миллионов долларов в 2021 году. Самая крупная индивидуальная награда от Google составила 605 тысяч долларов и была выплачена в 2022 году пользователю, который обнаружил уязвимость в мобильной операционной системе Android.