Агентные модели ИИ научились автоматически находить уязвимости и писать эксплойты — это привело к наплыву заявок в программы вознаграждений и усилило давление на компании по более быстрому выпуску патчей и улучшению процессов проверки.
Агентные модели ИИ сейчас не только находят уязвимости, но и автоматически разрабатывают эксплойты, что уже меняет экономику и операционную нагрузку программ вознаграждений за баги (bug bounty). Рост автоматизированных находок увеличил поток заявок и заставил компании ускорять проверку и исправление ошибок — это напрямую влияет на скорость выпуска патчей и на уровень риска для пользователей.
История выплат в bug bounty иллюстрирует масштаб изменений: при запуске программы вознаграждений Apple в 2016 году максимальная сумма составляла $200 000, к 2019 году выросла до $1 млн, а в прошлом году достигла $2 млн. Независимый исследователь Джозеф Текер (Joseph Thacker) говорит, что он «подал примерно в три раза больше багов, чем в это же время год назад» и предполагает, что крупные компании вроде Google могут тратить «в два — десять раз больше» на выплаты.
Изменение баланса спроса и предложения уже формирует новую экономику bug bounty: технологические гиганты обычно способны принять наплыв заявок и увеличить выплаты, но большинство организаций такими ресурсами не располагает. По наблюдению исследователей, агенты ИИ сейчас чаще находят «низко- и средне висящие фрукты» и заметные баги; при этом ожидается, что в следующем году число заявок может снизиться, поскольку многие уязвимости будут уже обнаружены, а некоторые организации вновь пересмотрят размеры вознаграждений.
Для команд разработки и безопасности это означает дополнительные временные и организационные требования. Как отмечает исследователь Химаншу Ананд (Himanshu Anand), «окно ответственного раскрытия в 90 дней было создано для мира, где исследователи багов были редки, а разработка эксплойтов шла медленно. Этот мир ушёл. LLM сократили оба таймлайна». Уменьшение времени на обнаружение и создание эксплойтов усиливает необходимость быстрой верификации уязвимостей и ускоренной доставки исправлений.
Практическое подтверждение угрозы уже зафиксировано: исследователи Google сообщили о попытках «видных киберпреступных акторов» эксплуатировать zero-day, разработанный с помощью инструментов ИИ, чтобы обойти двухфакторную аутентификацию в платформе управления системами с открытым исходным кодом. Google уведомила разработчика, и для этой уязвимости был выпущен фикс; аналитик Джон Халтквист (John Hultquist) назвал инцидент «первым доказательством» того, что злоумышленники используют ИИ для поиска новых уязвимостей. Массовое распространение автоматизированных обнаружителей и эксплойтеров повышает значение зрелых процессов развертывания исправлений: большой поток патчей без адекватного тестирования может привести к регрессиям и простоям. Одновременно давление со стороны автоматизированных атак стимулирует улучшение скорости доставки фиксов и развитие автоматизированного тестирования. Эксперты подчёркивают, что долгосрочные последствия на соотношение предложения и спроса в экосистеме уязвимостей пока остаются неопределёнными.
Источники
Ответы (0)
Пока нет ответов в этой теме.
