Problema raportărilor false în securitatea cibernetică
În ultimul an, industria de securitate cibernetică s-a confruntat cu o creștere a raportărilor false generate de modele lingvistice mari (LLM), care pretind că au identificat vulnerabilități care, în realitate, nu există. Aceste raportări sunt cunoscute sub denumirea de „AI slop” și reprezintă o provocare majoră pentru platformele de bug bounty, care intermediază relația dintre cercetătorii de securitate și companiile care oferă recompense pentru identificarea flaw-urilor.
Cazuri și reacții din industrie
Vlad Ionescu, co-fondator și CTO al RunSybil, a subliniat că multe dintre aceste raportări par rezonabile și tehnic corecte, dar, în realitate, se dovedește că sunt doar „halucinații” generate de LLM-uri. Acest tip de conținut, caracterizat prin detalii tehnice fabricate, copleșește atât platformele de bug bounty, cât și clienții acestora.
Un exemplu recent a fost raportul fals primit de proiectul de securitate open-source Curl, care a fost identificat rapid ca fiind generat de AI. Harry Sintonen, un cercetător în securitate, a menționat că Curl poate detecta aceste raportări false de la distanță. De asemenea, Benjamin Piouffle de la Open Collective a afirmat că inbox-ul lor este „inundat de gunoi generat de AI”.
Un alt dezvoltator open-source a decis să suspende complet programul de bug bounty după ce a primit „aproape exclusiv raportări de AI slop”.
Impactul asupra platformelor de bug bounty
Platformele de bug bounty au observat o creștere a raportărilor generate de AI. Michiel Prins de la HackerOne a confirmat că au întâlnit astfel de cazuri, menționând că raportările false pot crea un zgomot care subminează eficiența programelor de securitate. El a adăugat că raportările cu „vulnerabilități halucinate” sau conținut tehnic vag sunt tratate ca spam.
Casey Ellis de la Bugcrowd a remarcat o creștere generală de 500 de raportări pe săptămână, dar a subliniat că, deocamdată, nu a fost înregistrată o creștere semnificativă a raportărilor de calitate scăzută. Totodată, echipa Bugcrowd folosește atât metode manuale, cât și asistență AI pentru a analiza raportările.
Reacții din partea companiilor mari
În urma solicitărilor de comentarii, Mozilla a declarat că nu a observat o creștere substanțială a raportărilor invalide sau de calitate scăzută, cu o rată de respingere constantă de 5-6 raportări pe lună. Reprezentanții Microsoft și Meta nu au comentat, iar Google nu a răspuns.
Posibile soluții și viitorul securității cibernetice
Ionescu a sugerat că o soluție pentru problema raportărilor false ar putea fi investiția în sisteme AI care să efectueze o revizuire preliminară a raportărilor pentru a verifica acuratețea acestora. HackerOne a lansat recent Hai Triage, un sistem care combină analiza umană cu agenți AI pentru a identifica și prioritiza amenințările reale.
Concluzie
Creșterea raportărilor false generate de AI reprezintă o provocare semnificativă pentru industria de securitate cibernetică, având potențialul de a submina eficiența programelor de bug bounty și de a afecta negativ evaluarea realității vulnerabilităților. Implementarea unor soluții AI eficiente pentru filtrarea acestor raportări va fi esențială în viitor.
