Dieci anni fa i bug bounties erano solo un’idea nuova.
Allora i giganti della tecnologia trattavano i ricercatori come nemici. Erano sulla difensiva, ostili. Ignorarti era la risposta standard. Ma le cose cambiarono.
Apple ha aderito nel 2016 con un pagamento massimo di $ 200.001. Quel numero è raddoppiato fino a raggiungere il milione nel 2013, per poi toccare i due milioni l’anno scorso. È stato un periodo di boom.
Quell’era sta finendo.
L’intelligenza artificiale ora sta cercando le vulnerabilità in modo autonomo. Li trova e costruisce anche gli exploit. Le chiuse si sono aperte.
Per i ricercatori l’economia si sta deformando. Alcuni vivono di questo per tutta la vita. Per le aziende si tratta di un afflusso di segnalazioni misto a un picco di bug riscontrati internamente. La dinamica sta cambiando di pari passo con il modo in cui operano gli aggressori.
“Ho segnalato il triplo dei bug”, afferma Joseph Thacker, un ricercatore di sicurezza indipendente che utilizza l’intelligenza artificiale nella sua caccia. Pensa che Google stia pagando dieci volte quello che ha pagato l’anno scorso.
I giganti della tecnologia possono sostenere quel costo.
La maggior parte delle aziende non può.
Thacker nota che gli agenti stanno raccogliendo frutti a bassa e media portata in questo momento. I bug di alto valore sono facili da trovare per un LLM. Ma l’offerta diminuirà.
“L’anno prossimo verranno inviati meno bug.”
Un minor numero di invii potrebbe significare che i pagamenti aumentano di nuovo per i reperti rari. Nessuno sa come si equilibreranno la domanda e l’offerta a lungo termine. Dipende molto dalla velocità con cui l’intelligenza artificiale realizza gli exploit.
Questa pressione impone un’applicazione di patch più rapida.
La finestra di divulgazione di 90 giorni?
Andato.
“Quella finestra è stata costruita per un mondo… dove i cercatori di bug erano rari”, ha scritto il ricercatore di sicurezza Himanshu Anand. “Quel mondo è sparito. Gli LLM hanno compresso entrambe le tempistiche. ”
Anche gli aggressori stanno accelerando il processo.
Vogliono zero giorni.
“L’utilizzo zero day da parte dei criminali… è abbastanza limitato… ma penso che non dovremmo sottovalutare l’impatto di un numero maggiore di persone che dispongono di tale capacità.
I criminali inventano gli incidenti più gravi, sono economici da assumere e altamente motivati. Se l’IA abbassasse la barriera all’ingresso per gli zero-day, la posta in gioco aumenterebbe notevolmente.
I cacciatori sentono già il bruciore.
Curl ha terminato la sua ricompensa per i bug a gennaio. L’intelligenza artificiale lo ha inondato di spazzatura di bassa qualità. Il team lo ha denunciato direttamente: la malafede denuncia il sovraccarico dei sistemi e crea abusi. Vogliono ancora rapporti validi. Solo non la spazzatura.
Linus Torvalds ha affermato la scorsa settimana che l’elenco della sicurezza di Linux è “quasi del tutto ingestibile” a causa del duplicato spam AI.
Poi, ad aprile, lo sviluppatore principale di Curl, Daniel Stenberg, ha pubblicato su LinkedIn una svolta.
Lo spam si è fermato. La qualità è salita alle stelle.
“Riceviamo un numero sempre crescente di report davvero validi, quasi tutti con l’aiuto dell’intelligenza artificiale.”
Ciò sottopone le squadre a un carico serio. Google ha reagito ad aprile rivedendo il proprio programma di premi per la vulnerabilità, riducendo alcuni pagamenti e aumentandone altri per concentrarsi solo sull’impatto.
Jonathan Dunn che va a caccia di insetti tra un turno e l’altro come un cardiologo vede un cambiamento. I cacciatori d’élite con competenze approfondite continueranno a essere pagati per problemi difficili.
Ma dobbiamo ancora incentivare la ricerca etica.
Chi paga per trovare cose nell’infrastruttura in background di cui nessun altro si preoccupa?
Alex Zenla, CTO di Edera, afferma che ciò richiede ancora tempo umano. Cambia le dinamiche del settore.
Anthropic ha recentemente lanciato un bug bounty su HackerOne per i suoi modelli Claude. Si adatta alla tendenza. Alcuni sostengono che ora siano necessarie difese strutturali.
Niels Provos lo dice senza mezzi termini: non è possibile uscire dalla crisi con i cerotti.
In primo luogo è necessario costruire un’infrastruttura che renda i bug irrilevanti.
Il che è più facile a dirsi che a farsi. L’intelligenza artificiale non aspetterà che correggiamo il nostro codice. È già lì a cercare.
