Kecerdasan Buatan Mengubah Perburuan Bug Menjadi Perlombaan Senjata yang Lebih Cepat dan Lebih Mahal
Kecerdasan Buatan membentuk ulang perburuan bug
Satu dekade setelah program hadiah bug beralih dari praktik keamanan yang bersifat nisbi menjadi kebijakan korporat mainstream, gelombang baru alat Kecerdasan Buatan mengubah ekonomi penelitian kerentanan. Sistem Kecerdasan Buatan agentik menjadi lebih baik baik dalam menemukan kelemahan perangkat lunak maupun mengembangkan eksploit, membanjiri program pengungkapan dengan lebih banyak pengajuan sembari organisasi juga menemukan lebih banyak bug sendiri.
Hasilnya adalah perlombaan senjata yang menguat antara peneliti, perusahaan, dan penyerang. Peneliti keamanan independen Joseph Thacker, yang telah membangun alat dan metode untuk menggunakan Kecerdasan Buatan dalam pekerjaannya sendiri, mengatakan ia telah mengajukan sekitar tiga kali lebih banyak bug dibandingkan pada titik yang sama tahun lalu. Ia memperkirakan tekanan ini akan mengenai perusahaan besar terlebih dahulu.
"Saya menduga bahwa perusahaan seperti Google akan menghabiskan dua hingga 10 kali lipat untuk pembayaran bug dibandingkan tahun lalu," kata Thacker.
Ia menambahkan bahwa perusahaan teknologi besar dapat menyerap peningkatan ini, tetapi banyak perusahaan lain tidak dapat. Menurutnya, sistem Kecerdasan Buatan sudah menemukan kerentanan yang lebih mudah, dan tahun depan mungkin akan ada lebih sedikit bug yang mudah ditemukan karena banyak dari mereka kemungkinan sudah terdeteksi.
Batas waktu pengungkapan mendapat tekanan
Perubahan ini juga menantang norma lama seputar pengungkapan bertanggung jawab. Peneliti keamanan Himanshu Anand menulis awal bulan ini bahwa batas waktu pengungkapan 90 hari dibangun untuk dunia di mana penemu bug jarang dan pengembangan eksploit lambat, menambahkan bahwa model bahasa besar telah memperpendek kedua garis waktu tersebut.
Pemendekan itu dapat mendorong pengembang untuk merilis perbaikan lebih cepat, terutama jika penyerang dapat menemukan dan mengubah kelemahan menjadi senjata lebih cepat dari sebelumnya. Ini juga dapat memaksa organisasi meningkatkan kecepatan mereka dalam menerapkan perbaikan secara internal, sebuah proses yang selalu sulit karena perbaikan dapat menciptakan masalah baru jika digulirkan tanpa pengujian yang cukup.
Program hadiah bug sendiri sudah berevolusi secara dramatis. Ketika Apple meluncurkan program hadiahnya pada 2016, hadiah tertingginya adalah $200.000. Perusahaan menaikkannya menjadi $1 juta pada 2019 dan kemudian menjadi $2 juta tahun lalu.
Sekarang, dengan Kecerdasan Buatan meningkatkan baik pasokan bug maupun kecepatan pembuatan eksploit, para peneliti mengatakan fase berikutnya dari penelitian kerentanan kemungkinan akan terlihat sangat berbeda dari fase sebelumnya.
Sumber: