漏洞赏金企业遭受人工智能垃圾轰炸
Ars Technica — AI··Jamie John, Financial Times·约 2 分钟阅读
那些付钱给黑客来寻找其软件缺陷的公司正在被人工智能生成的低质量报告淹没,迫使一些公司完全暂停这些程序。运行“错误赏金”计划的企业长期以来一直依赖独立安全研究人员来发现漏洞。但人工智能工具的兴起现在让虚假提交压倒了他们。
Bugcrowd的客户包括OpenAI、T-Mobile和Motorola,该公司表示,3月份收到的报告数量在三周内增加了四倍多,其中大多数被证明是虚假的。
Curl是一种广泛使用的在互联网上传输数据的工具,该工具于1月份暂停了其付费错误赏金计划,理由是“人工智能污水报告激增”和提交质量较低。网络安全专家表示,生成性人工智能的进步正在重塑错误赏金计划的经济学。
虽然这些工具可以让经验丰富的研究人员更快地发现缺陷,但它们也降低了进入门槛,引发了大量自动化或错误提交,公司必须筛选这些提交。网络安全集团Sophos首席信息安全官Ross McKerchar表示,低质量人工智能报告的大幅增加“正在迅速成为一个主要问题”。
“虫子赏金将继续存在,但必须改变,”他说。自2000年代初以来,漏洞赏金越来越受欢迎,计划为最大的发现提供六位数的奖金。
谷歌去年的计划总额为1700万美元,高于7美元。2021年500万。2022年,该公司向发现其Android移动操作系统漏洞的用户支付了最大的个人奖励605,000美元。
麦克查尔表示,低质量提交的增加既来自于第一次试图发现漏洞的业余爱好者,也来自于“有时受到[人工智能]代理的引导”的现有研究人员。”