La IA está convirtiendo la caza de errores en una carrera armamentista más rápida y costosa
La IA está transformando la caza de errores
Una década después de que los programas de recompensas por vulnerabilidades pasaran de ser una práctica de seguridad de nicho a una política corporativa generalizada, una nueva ola de herramientas de IA está trastocando la economía de la investigación de vulnerabilidades. Los sistemas de IA autónomos están mejorando tanto en encontrar debilidades de software como en desarrollar explotaciones, saturando los programas de divulgación con más envíos incluso cuando las organizaciones descubren más errores por su cuenta.
El resultado es una carrera armamentista cada vez más intensa entre investigadores, empresas y atacantes. El investigador de seguridad independiente Joseph Thacker, que ha desarrollado herramientas y métodos para usar IA en su propio trabajo, dijo que ha presentado aproximadamente tres veces más errores que lo que había presentado en esta época el año pasado. Espera que la presión afecte primero a las grandes empresas.
"Sospecharía que una compañía como Google va a gastar entre dos y diez veces más en pagos por bugs de lo que gastó el año pasado", dijo Thacker.
Agregó que las grandes empresas tecnológicas pueden absorber el aumento, pero muchas otras no. En su opinión, los sistemas de IA ya están encontrando las vulnerabilidades más sencillas, y el próximo año puede haber menos errores fáciles de encontrar porque muchos de ellos ya habrán sido detectados.
Los plazos de divulgación bajo presión
El cambio también está desafiando las normas de larga data sobre la divulgación responsable. El investigador de seguridad Himanshu Anand escribió a principios de mes que la ventana de divulgación de 90 días se diseñó para un mundo en el que los descubridores de errores eran escasos y el desarrollo de explotaciones era lento, y añadió que los grandes modelos de lenguaje han comprimido ambos plazos.
Esa compresión podría empujar a los desarrolladores a lanzar parches más rápido, especialmente si los atacantes son capaces de descubrir y weaponizar fallos con mayor rapidez que antes. También puede forzar a las organizaciones a mejorar la forma en que despliegan correcciones internamente, un proceso que siempre ha sido difícil porque los parches pueden crear nuevos problemas si se implementan sin pruebas suficientes.
Los propios programas de recompensas por vulnerabilidades ya han evolucionado de forma dramática. Cuando Apple lanzó su programa en 2016, su máxima recompensa era de $200,000. La compañía la elevó a $1 millón en 2019 y luego a $2 millones el año pasado.
Ahora, con la IA aumentando tanto la oferta de errores como la velocidad de creación de explotaciones, los investigadores dicen que la próxima fase de la investigación de vulnerabilidades probablemente se verá muy distinta de la anterior.
Fuentes: