A era da IA ​​está criando uma corrida armamentista para caça aos insetos

“As questões do Estado-nação são muito sérias e reais, mas os atores criminosos ainda constituem a grande maioria dos incidentes com os quais as organizações lidam e muitos desses incidentes são bastante graves”, acrescenta Hultquist. “O uso do dia zero por criminosos tem sido bastante limitado, e aqueles que os utilizam tendem a ser muito bem-sucedidos, por isso acho que não devemos subestimar o impacto de mais criminosos com um dia zero nas mãos.”

Para os pesquisadores que ganham dinheiro com a caça aos insetos, porém, os tempos estão mudando. A ferramenta de linha de comando Curl encerrou seu programa de recompensas por bugs (executado por meio do serviço terceirizado HackerOne) em janeiro, após ser inundado com envios de baixa qualidade gerados pela IA.

“Concluímos da maneira mais difícil que uma recompensa por bugs dá às pessoas incentivos muito fortes para encontrar e inventar ‘problemas’ de má-fé que causam sobrecarga e abuso”, disse o grupo. escreveu na época, acrescentando que “ainda apreciamos e valorizamos relatórios de vulnerabilidade válidos”.

Na semana passada, o criador do Linux e desenvolvedor líder Linus Torvalds escreveu que a famosa lista de discussão de segurança do Linux se tornou “quase totalmente incontrolável” devido ao alto volume e aos relatórios duplicados de bugs de IA.

Em abril, porém, Daniel Stenberg, fundador e desenvolvedor líder do Curl, disse em um LinkedIn publicar que a qualidade das submissões melhorou. “Nos últimos meses, paramos de receber relatórios de segurança de resíduos de IA no projeto curl”, escreveu ele. “Em vez disso, recebemos uma quantidade cada vez maior de relatórios de segurança realmente bons, quase todos feitos com a ajuda da IA. Eles são enviados com uma frequência nunca antes vista e nos colocam sob grande carga.”

E no final de abril, o Google anunciado que estava reformulando seus programas de recompensa por vulnerabilidade para Chrome e Android e reduzindo os pagamentos para algumas classes de bugs, enquanto aumentava outras.

“À medida que o cenário da pesquisa de segurança evolui com a IA, estamos fazendo mudanças em nossos programas para garantir que recompensamos as vulnerabilidades mais desafiadoras e impactantes em nossos produtos”, escreveu a empresa.

“Acho que os caçadores de bugs do percentil 90 com habilidades especiais sempre serão capazes de obter descobertas e receber pagamentos de grandes empresas”, diz Jonathan Dunn, cardiologista que também é caçador de recompensas de bugs. “Mas mesmo com a IA, também precisamos de incentivar fortemente os investigadores éticos a encontrar coisas em infraestruturas públicas e outros sistemas críticos que, de outra forma, poderiam não receber a atenção suficiente dos defensores.”

Por enquanto, a maioria das organizações parece pronta para lançar todas as soluções que puderem imaginar para o problema (e benefício) da descoberta acelerada de bugs. “Isso está mudando a dinâmica da indústria de caça aos bugs, mas ainda requer tempo humano”, diz Alex Zenla, diretor de tecnologia da empresa de segurança em nuvem Edera.

No início deste mês, a Anthropic lançou um Recompensa de bugs do HackerOne para que os pesquisadores apresentem descobertas sobre os próprios sistemas da empresa e modelos de Claude AI. Cada vez mais, porém, alguns investigadores argumentam que as defesas estruturais são necessárias para lidar com a aceleração da descoberta de vulnerabilidades. Em outras palavras, eles estão arquitetando soluções digitais para diferentes classes de vulnerabilidades que elimine-os ou torná-los significativamente menos exploráveis ​​na prática.

“Não há como escapar dessa situação”, diz Niels Provos, engenheiro de segurança e pesquisador de longa data. “Você precisa construir uma infraestrutura que torne irrelevantes o maior número possível de bugs.”