בינה מלאכותית הופכת את ציד הבאגים למרוץ חימוש מהיר ויקר יותר
בינה מלאכותית מעצבת מחדש את ציד הבאגים
עשר שנים אחרי שתוכניות פרסי באגים עברו מתרגול אבטחה נישתי למדיניות תאגידית מרכזית, גל חדש של כלים מבוססי בינה מלאכותית מערער את הכלכלה של מחקר פגיעויות. מערכות בינה מלאכותית סוכניות הופכות לטובות יותר גם בגילוי חולשות בתוכנה וגם בפיתוח אקספלואיטים, ומציפות תוכניות גילוי ביותר הגשות בעוד ארגונים מגלים בעצמם יותר באגים.
התוצאה היא מרוץ חימוש מחמיר בין חוקרים, חברות ותוקפים. חוקר אבטחה עצמאי Joseph Thacker, שבנה כלים ושיטות לשימוש בבינה מלאכותית בעבודתו, אמר שהוא הגיש בערך פי שלוש יותר באגים ממה שהגיש עד לנקודה זו בשנה שעברה. הוא צופה שהלחץ יפגע בחברות הגדולות קודם כל.
"אני משער שחברה כמו Google תוציא פי שניים עד פי עשרה יותר על תשלומי פרסים עבור באגים מאשר הוציאה בשנה שעברה," אמר Thacker.
הוא הוסיף שחברות טכנולוגיה גדולות יכולות לספוג את הגידול, אבל רבות אחרות לא יכולות. לדעתו, מערכות בינה מלאכותית כבר מגלות פגיעויות קלות יותר, ובשנה הבאה ייתכן שיהיו פחות באגים 'בגובה הנמוך' להגיש כי רבים מהם כבר יימצאו.
לוחות זמנים לגילוי תחת לחץ
השינוי גם מאתגר נורמות ארוכות טווח סביב גילוי אחראי. חוקר האבטחה Himanshu Anand כתב בתחילת החודש שחלון הגילוי של 90 יום נבנה לעולם שבו מגלי הבאגים היו נדירים ופיתוח אקספלואיטים איטי, והוסיף שמודלים לשוניים גדולים דחסו את שני צירי הזמן הללו.
הדחיסה הזו עלולה לדחוף מפתחים לשחרר תיקונים מהר יותר, במיוחד אם תוקפים יצליחו לגלות ולנצל פגמים מהר יותר מאשר בעבר. ייתכן שזה גם יאלץ ארגונים לשפר את מהירות הפריסה של התיקונים בפנים הארגון, תהליך שתמיד היה קשה מכיוון שתיקונים עלולים ליצור בעיות חדשות אם הם מופצים בלי מספיק בדיקות.
תוכניות פרסי באגים עצמן כבר התפתחו באופן דרמטי. כש-Apple השיקה את תוכנית הפרס שלה ב-2016, הפרס העליון שלה היה 200,000$. החברה העלתה אותו ל-1,000,000$ ב-2019 ואז ל-2,000,000$ בשנה שעברה.
כעת, עם כך שבינה מלאכותית מגדילה הן את היצע הבאגים והן את מהירות יצירת האקספלואיטים, חוקרים אומרים שהשלב הבא של מחקר פגיעויות צפוי להיראות שונה מאוד מזה שהיה קודם.
מקורות: