Десять лет назад программы вознаграждений для исследователей за обнаружение уязвимостей программного обеспечения только начинали набирать популярность. Программы ответственного раскрытия уязвимостей, известные как "баг-баунти", представляли собой смену парадигмы, которая развивалась годами. Они подтолкнули организации от враждебного и оборонительного отношения к результатам исследований безопасности к признанию необходимости получать информацию и выпускать исправления. Когда компания Apple* в 2016 году наконец запустила собственную программу баг-баунти, максимальное вознаграждение составляло 200 000 долларов США. В 2019 году оно выросло до 1 миллиона долларов, а в прошлом году — до 2 миллионов. Однако теперь ситуация вновь кардинально меняется.
Содержание
Изменение динамики вознаграждений за уязвимости
По мере того как автономные модели искусственного интеллекта (ИИ) становятся всё более adeptными как в самостоятельном выявлении уязвимостей программного обеспечения, так и в разработке эксплойтов (специальных программ для их использования), программы по раскрытию уязвимостей оказываются перегружены. При этом сами организации обнаруживают больше ошибок, чем когда-либо. Такое изобилие меняет экономику баг-баунти как для учреждений, запрашивающих отчёты, так и для исследователей, некоторые из которых сейчас полностью живут или дополняют свой доход за счёт "охоты за ошибками". И, что крайне важно, для злоумышленников эта сфера также претерпевает изменения.
Независимый исследователь безопасности Джозеф Такер, разработавший методы и инструменты для использования ИИ в собственной "охоте за ошибками", отмечает, что, вероятно, отправил в три раза больше отчётов об ошибках, чем в прошлом году, и предполагает, что компания Google* потратит на вознаграждения в 2–10 раз больше средств, чем ранее. Он добавляет, что технологические гиганты способны выдержать такое давление, но большинство компаний — нет. По его словам, сейчас исследователи отправляют отчёты о легкодоступных и очевидных уязвимостях, поскольку агентные модели ИИ находят действительно ценные ошибки. Однако в следующем году количество отправленных отчётов сократится, так как многие из таких уязвимостей уже будут найдены, и тогда некоторые компании, вероятно, снова увеличат выплаты.
Такер и другие исследователи признают, что никто точно не знает, как долгосрочно проявится динамика спроса и предложения. В зависимости от эффективности ИИ в обнаружении эксплойтов и автоматическом сканировании систем злоумышленниками, разработчики могут почувствовать ещё большее давление, требующее быстрого выпуска исправлений. Это потенциально может ускорить давно устоявшиеся и с трудом достигнутые стандарты, такие как 90-дневные сроки раскрытия информации (установленные временные рамки между обнаружением уязвимостей и их публичным раскрытием, часто стимулирующие выпуск патчей).
Сроки раскрытия уязвимостей и роль ИИ
Как ранее в этом месяце писал исследователь безопасности Химаншу Ананд, 90-дневный срок ответственного раскрытия информации был разработан для мира, где искатели ошибок были редкостью, а разработка эксплойтов — медленным процессом. Этот мир ушёл в прошлое. Большие языковые модели (БЯМ) значительно сократили оба этих временных отрезка.
Принудительная ответственность, возложенная на организации атаками, может также мотивировать их к более быстрому внедрению исправлений уязвимостей в своих системах. Распространение патчей всегда было критической, но сложной задачей безопасности, учитывая, что без надлежащего тестирования масштабная установка нового программного обеспечения может привести к непредвиденным последствиям, вплоть до худших сценариев, таких как сбои в работе систем.
Реальные атаки с использованием ИИ
Срочность реальных атак, осуществляемых с помощью ИИ, похоже, растёт: как изощрённые, так и менее опытные злоумышленники стремятся расширить свои возможности и сократить расходы. Например, в опубликованных ранее в этом месяце отчётах исследователи Google* сообщили, что наблюдали, как "известные киберпреступные группы" (которых они отказались называть) пытались использовать уязвимость "нулевого дня" (ранее неизвестную), разработанную ими с использованием инструментов ИИ для обхода двухфакторной аутентификации на платформе системного администрирования с открытым исходным кодом. Google* оперативно уведомила разработчика, который выпустил исправление для этой уязвимости. Однако исследователи отметили, что этот инцидент стал важнейшей иллюстрацией меняющегося ландшафта "охоты за ошибками".
Джон Халтквист, главный аналитик Google* Threat Intelligence Group, комментируя использование ИИ злоумышленниками для обнаружения новых уязвимостей и создания эксплойтов, заявил, что эксперты предполагали подобное развитие событий, и это стало первым подтверждением их опасений.
Халтквист добавил, что проблемы, связанные с государственными субъектами, очень серьёзны и реальны, но криминальные группы по-прежнему составляют подавляющее большинство инцидентов, с которыми сталкиваются организации, и многие из этих инцидентов достаточно серьёзны. Использование "нулевых дней" криминальными субъектами было довольно ограничено, и те, кто их использует, как правило, очень успешны. Поэтому, по мнению аналитика, не следует недооценивать влияние увеличения числа преступников, имеющих в своём распоряжении уязвимость "нулевого дня".
Перемены для охотников за ошибками
Однако для исследователей, зарабатывающих на "охоте за ошибками", времена меняются. Утилита командной строки Curl* в январе прекратила свою программу баг-баунти (реализуемую через сторонний сервис HackerOne) после того, как была завалена низкокачественными отчётами, сгенерированными ИИ.
Группа признала, что программа поощрения, к сожалению, создавала чрезмерные стимулы для недобросовестного поиска и "выдумывания" проблем, что приводило к перегрузке и злоупотреблениям. При этом было подчёркнуто, что компания по-прежнему ценит действительно важные отчёты об уязвимостях.
На прошлой неделе создатель и ведущий разработчик Linux Линус Торвальдс написал, что знаменитый список рассылки по безопасности Linux* стал "практически неуправляемым" из-за большого количества повторяющихся отчётов об ошибках, сгенерированных ИИ.
Однако в апреле Даниэль Стенберг, основатель и ведущий разработчик Curl*, сообщил в публикации на LinkedIn*, что качество присылаемых отчётов улучшилось. Он отметил, что за последние несколько месяцев проект Curl* перестал получать некачественные отчёты об уязвимостях, сгенерированные ИИ. Вместо этого, по его словам, поступает всё больше действительно качественных отчётов, почти все из которых созданы с помощью искусственного интеллекта. Эти отчёты приходят с беспрецедентной частотой, создавая значительную нагрузку.
В конце апреля Google* объявила о пересмотре своих программ вознаграждений за уязвимости для Chrome* и Android*, снижая выплаты за некоторые классы ошибок и увеличивая за другие.
Компания заявила, что по мере развития ландшафта безопасности с использованием ИИ, она вносит изменения в свои программы, чтобы гарантировать вознаграждение за наиболее сложные и значимые уязвимости в своих продуктах.
Будущее индустрии и структурные решения
Кардиолог и по совместительству охотник за ошибками Джонатан Данн считает, что 90% лучших "охотников за ошибками" со специальными навыками всегда смогут находить уязвимости и получать выплаты от крупных компаний. Однако, по его словам, даже с учётом развития ИИ, необходимо активно стимулировать этичных исследователей к поиску проблем в общественной инфраструктуре и других критически важных системах, которые иначе могут не получить достаточного внимания со стороны защитников.
На данный момент большинство организаций, похоже, готовы применять любые решения, которые они могут придумать, для решения проблемы ускоренного обнаружения уязвимостей и извлечения из этого выгоды. Алекс Зенла, технический директор облачной охранной фирмы Edera, отмечает, что это меняет динамику индустрии "охоты за ошибками", но всё равно абсолютно необходимо человеческое участие.
Ранее в этом месяце компания Anthropic запустила программу баг-баунти через HackerOne для исследователей, которые будут предоставлять отчёты об уязвимостях в её собственных системах и моделях ИИ Claude*. Однако всё чаще некоторые исследователи утверждают, что для решения проблемы ускоренного обнаружения уязвимостей необходимы структурные меры защиты. Другими словами, они разрабатывают цифровые решения для различных классов уязвимостей, которые устраняют их или значительно снижают их эксплуатационную пригодность на практике.
Долголетний инженер и исследователь безопасности Нильс Провос заявляет, что "залатать" эту проблему не получится. По его словам, необходимо создавать инфраструктуру, которая делает как можно больше ошибок неактуальными.
* — деятельность компании запрещена на территории РФ
