Satu dekade yang lalu, bug bounty hanyalah sebuah ide baru.
Saat itu, raksasa teknologi memperlakukan peneliti seperti musuh. Mereka defensif dan bermusuhan. Mengabaikan Anda adalah respons standar. Tapi segalanya berubah.
Apple bergabung pada tahun 2016 dengan pembayaran maksimal $200.001. Jumlah tersebut meningkat dua kali lipat menjadi satu juta pada tahun 2013 dan kemudian mencapai dua juta pada tahun lalu. Itu adalah masa booming.
Era itu sudah berakhir.
Agentic AI kini memburu kerentanan secara mandiri. Ia menemukannya dan membangun eksploitasinya juga. Pintu air terbuka.
Bagi para peneliti, kondisi perekonomian sedang memburuk. Beberapa orang mencari nafkah dari hal ini. Bagi perusahaan, hal ini merupakan banyaknya laporan yang bercampur dengan lonjakan bug yang ditemukan secara internal. Dinamikanya berubah seiring dengan cara penyerang beroperasi.
“Saya telah mengirimkan bug tiga kali lebih banyak,” kata Joseph Thacker, seorang peneliti keamanan independen yang menggunakan AI dalam perburuannya. Menurutnya Google membayar sepuluh kali lipat dibandingkan tahun lalu.
Raksasa teknologi dapat menanggung biaya sebesar itu.
Kebanyakan perusahaan tidak bisa.
Thacker mencatat bahwa saat ini para agen sedang memanen buah-buahan yang berukuran rendah dan sedang. Bug bernilai tinggi mudah ditemukan untuk LLM. Namun pasokan akan turun.
“Tahun depan akan ada lebih sedikit bug yang dikirimkan.”
Pengiriman yang lebih sedikit mungkin berarti pembayaran kembali meningkat untuk penemuan langka. Tidak ada yang tahu bagaimana keseimbangan permintaan dan pasokan dalam jangka panjang. Hal ini sangat bergantung pada seberapa cepat AI melakukan eksploitasi.
Tekanan ini memaksa patching lebih cepat.
Jendela pengungkapan 90 hari?
Hilang.
“Jendela itu dibuat untuk dunia… di mana pencari bug jarang ditemukan,” tulis peneliti keamanan Himanshu Anand. “Dunia itu telah hilang. LLM telah memampatkan kedua garis waktu tersebut.”
Penyerang juga mempercepat prosesnya.
Mereka menginginkan zero-day.
“Penggunaan zero day oleh penjahat… cukup terbatas… namun kita tidak boleh meremehkan dampak dari semakin banyaknya orang yang memiliki kemampuan tersebut.
Penjahat membuat insiden paling serius. Mereka murah untuk disewa dan bermotivasi tinggi. Jika AI menghilangkan hambatan masuk dalam zero-day, maka risikonya akan meningkat tajam.
Pemburu sudah merasakan luka bakarnya.
Curl mengakhiri bug bountynya pada bulan Januari. AI membanjirinya dengan sampah berkualitas rendah. Tim tersebut menyatakannya secara langsung: laporan itikad buruk membebani sistem secara berlebihan dan menimbulkan penyalahgunaan. Mereka tetap menginginkan laporan yang valid. Hanya saja, bukan sampahnya.
Linus Torvalds mengatakan minggu lalu daftar keamanan Linux “hampir seluruhnya tidak dapat dikelola” karena duplikat spam AI.
Kemudian pada bulan April, pengembang utama Curl, Daniel Stenberg, memposting ke LinkedIn dengan sebuah twist.
Spamnya berhenti. Kualitasnya meroket.
“Kami mendapatkan laporan yang sangat bagus dalam jumlah yang terus meningkat, hampir semuanya dengan bantuan AI.”
Hal ini menempatkan tim di bawah beban yang serius. Google bereaksi pada bulan April dengan merombak program penghargaan kerentanan mereka dengan menurunkan beberapa pembayaran dan meningkatkan pembayaran lainnya agar hanya fokus pada dampak.
Jonathan Dunn yang memburu serangga di sela-sela shift karena seorang ahli jantung melihat adanya pergeseran. Pemburu elit dengan keterampilan mendalam akan terus dibayar untuk masalah sulit.
Namun kita masih perlu memberi insentif pada penelitian yang beretika.
Siapa yang membayar untuk menemukan sesuatu di latar belakang infrastruktur yang tidak dipedulikan orang lain?
CTO Edera Alex Zenla mengatakan hal ini masih membutuhkan waktu manusia. Ini mengubah dinamika industri.
Anthropic baru-baru ini meluncurkan bug bounty di HackerOne untuk model Claude-nya. Ini sesuai dengan tren. Ada yang mengatakan pertahanan struktural kini diperlukan.
Niels Provos secara blak-blakan menyatakan: Anda tidak bisa keluar dari krisis ini.
Anda harus membangun infrastruktur yang menjadikan bug tidak relevan.
Yang lebih mudah diucapkan daripada dilakukan. AI tidak akan menunggu kita memperbaiki kode kita. Itu sudah terlihat di sana.
