Десять років тому програми винагород за виявлення вразливостей (bug bounties) були лише новою ідеєю.
Тоді технологічні гіганти сприймали дослідників як ворогів. Їхній підхід був оборонним і ворожим. Ігнорування скарг вважалося стандартною реакцією. Але ситуація змінилася.
У 2016 році до цієї практики приєдналася Apple, встановивши максимальний розмір виплати $200 001. У 2013 році ця сума подвоїлася до мільйона, а минулого року досягла двох мільйонів. Настав бум.
Але ця епоха добігає кінця.
Наразі агенти на основі ІІ автономно полюють на вразливість. Вони не лише знаходять їх, а й створюють експлойти. Заслони впали.
Для дослідників економіка цієї галузі спотворюється. Дехто робить це своїм єдиним джерелом доходу. Для компаній це означає приплив звітів, змішаний із різким зростанням числа вразливостей, які виявляються внутрішніми системами. Динаміка змінюється одночасно з тим, як діють зловмисники.
«Я надіслав утричі більше звітів про помилки», — каже Джозеф Такер, незалежний дослідник безпеки, який використовує ІІ у своїй роботі. На його думку, виплати Google зараз удесятеро вищі, ніж роком раніше.
Технологічні гіганти можуть дозволити собі такі витрати.
Більшість інших компаній немає.
Такер зазначає, що зараз агенти збирають легкі та середні за складністю плоди. Високоцінні вразливості легко знаходять величезні мовні моделі (LLM). Однак пропозиція скоро впаде.
«Наступного року буде менше відправлених звітів про помилки».
Менше заявок може означати, що виплати за рідкісні знахідки знову зростуть. Ніхто не знає, як довгострокове співвідношення попиту та пропозиції прийде до рівноваги. Це багато в чому залежить від того, наскільки швидко ІІ створюватиме експлойти.
Цей тиск змушує швидше застосовувати патчі.
Вікно розкриття у 90 днів?
Зникло.
«Це вікно було створено для світу… де знахідники вразливостей були рідкістю», — написав дослідник безпеки Хіманшу Ананд. «Той світ зник. Мовні моделі стиснули обидва часові діапазони».
Зловмисники також пришвидшують процес.
Їм потрібні нульові дні (zero-days).
«Використання вразливостей нульового дня злочинцями… поки що досить обмежене… але, думаю, нам не варто недооцінювати наслідки того, що така здатність стане доступною більшій кількості людей».
Злочинці стоять за більшістю серйозних інцидентів: їх дешево наймати і вони високо мотивовані. Якщо ІІ знизить поріг входження для створення zero-day експлойтів, ставки різко зростуть.
Мисливці вже відчувають перегрів.
Проект Curl припинив свою програму винагород у січні. ІІ завалив його низькоякісним сміттям. Команда відкрито заявила: звіти у поганій вірі перевантажують системи та створюють можливості для зловживань. Їм, як і раніше, потрібні валідні звіти. Просто не сміття.
Лінус Торвальдс минулого тижня заявив, що список безпеки Linux став «практично некерованим» через спам-контент, що дублюється, від ІІ.
А потім у квітні головний розробник Curl Даніель Стенберг опублікував пост у LinkedIn з несподіваним поворотом.
Спам припинився. Якість різко зросла.
«Ми отримуємо дедалі більше справді хороших звітів, майже всі — з допомогою ІІ».
Це лягає серйозним навантаженням на команди. Google відреагував у квітні, провівши масштабну реформу своєї програми винагород: знизили одні виплати та підвищили інші, щоб сфокусуватися лише на реальному впливі вразливостей.
Джонатан Данн, який шукає баги між змінами кардіолога, бачить зміну парадигми. Елітні мисливці з глибокими навичками продовжуватимуть отримувати гроші за вирішення складних завдань.
Але, як і раніше, потрібно стимулювати етичні дослідження.
Хто платитиме за пошук уразливостей у фоновій інфраструктурі, яку ніхто більше не хвилює?
Технічний директор Edera Алекс Ценла каже, що це, як і раніше, вимагає людського часу. Це змінює динаміку галузі.
Нещодавно Anthropic запустила програму винагород за помилки на HackerOne для своїх моделей Claude. Це вписується у тренд. Дехто стверджує, що тепер потрібні структурні захисту.
Нільс Провос каже прямо: ви не зможете виправити цю кризу простими патчами.
Ви повинні створити інфраструктуру, яка зробить помилки нерелевантними спочатку.
Легше сказати, ніж зробити. ІІ не чекатиме, поки ми виправимо наш код. Він уже тут шукає.
