Десять лет назад программы вознаграждений за обнаружение уязвимостей (bug bounties) были лишь новой идеей.
Тогда технологические гиганты воспринимали исследователей как врагов. Их подход был оборонительным и враждебным. Игнорирование жалоб считалось стандартной реакцией. Но ситуация изменилась.
В 2016 году к этой практике присоединилась Apple, установив максимальный размер выплаты в $200 001. В 2013 году эта сумма удвоилась до миллиона, а в прошлом году достигла двух миллионов. Наступил бум.
Но эта эпоха подходит к концу.
Сейчас агенты на основе ИИ автономно охотятся на уязвимости. Они не только находят их, но и создают эксплойты. Заслоны рухнули.
Для исследователей экономика этой сферы искажается. Некоторые делают это своим единственным источником дохода. Для компаний это означает приток отчетов, смешанный с резким ростом числа уязвимостей, обнаруживаемых внутренними системами. Динамика меняется синхронно с тем, как действуют злоумышленники.
«Я отправил в три раза больше отчетов об ошибках», — говорит Джозеф Такер, независимый исследователь безопасности, который использует ИИ в своей работе. По его мнению, выплаты Google сейчас в десять раз выше, чем годом ранее.
Технологические гиганты могут позволить себе такие расходы.
Большинство других компаний — нет.
Такер отмечает, что сейчас агенты собирают легкие и средние по сложности плоды. Высокоценные уязвимости легко находят большие языковые модели (LLM). Однако предложение скоро упадет.
«В следующем году будет меньше отправленных отчетов об ошибках».
Меньше заявок может означать, что выплаты за редкие находки снова вырастут. Никто не знает, как долгосрочное соотношение спроса и предложения придет в равновесие. Это во многом зависит от того, насколько быстро ИИ будет создавать эксплойты.
Это давление заставляет быстрее применять патчи.
Окно раскрытия в 90 дней?
Исчезло.
«Это окно было создано для мира… где находчики уязвимостей были редкостью», — написал исследователь безопасности Химаншу Ананд. «Тот мир исчез. Языковые модели сжали оба временных диапазона».
Злоумышленники также ускоряют процесс.
Им нужны нулевые дни (zero-days).
«Использование уязвимостей нулевого дня преступниками… пока достаточно ограничено… но, думаю, нам не стоит недооценивать последствия того, что такая способность станет доступной большему числу людей».
Преступники стоят за большинством серьезных инцидентов: их дешево нанимать, и они высоко мотивированы. Если ИИ снизит порог вхождения для создания zero-day эксплойтов, ставки резко вырастут.
Охотники уже чувствуют перегрев.
Проект Curl прекратил свою программу вознаграждений в январе. ИИ завалил его низкокачественным мусором. Команда открыто заявила: отчеты в дурной вере перегружают системы и создают возможности для злоупотреблений. Им по-прежнему нужны валидные отчеты. Просто не мусор.
Линус Торвальдс на прошлой неделе заявил, что список безопасности Linux стал «практически неуправляемым» из-за дублирующегося спам-контента от ИИ.
А затем в апреле главный разработчик Curl Даниэль Стенберг опубликовал пост в LinkedIn с неожиданным поворотом.
Спам прекратился. Качество резко возросло.
«Мы получаем все больше действительно хороших отчетов, практически все — с помощью ИИ».
Это ложится серьезной нагрузкой на команды. Google отреагировал в апреле, проведя масштабную реформу своей программы вознаграждений: снизили одни выплаты и повысили другие, чтобы сфокусироваться только на реальном влиянии уязвимостей.
Джонатан Данн, который ищет баги между сменами кардиолога, видит смену парадигмы. Элитные охотники с глубокими навыками будут продолжать получать деньги за решение сложных задач.
Но нам по-прежнему нужно стимулировать этичные исследования.
Кто будет платить за поиск уязвимостей в фоновой инфраструктуре, которую никто больше не волнует?
Технический директор Edera Алекс Ценла говорит, что это по-прежнему требует человеческого времени. Это меняет динамику отрасли.
Недавно Anthropic запустила программу вознаграждений за ошибки на HackerOne для своих моделей Claude. Это вписывается в тренд. Некоторые утверждают, что теперь требуются структурные защиты.
Нильс Провос говорит прямо: вы не сможете исправить этот кризис простыми патчами.
Вы должны создать инфраструктуру, которая сделает сами ошибки нерелевантными изначально.
Легче сказать, чем сделать. ИИ не будет ждать, пока мы исправим наш код. Он уже здесь и ищет.
