AIはバグ探索を再形成している

ニッチなセキュリティ慣行から主流の企業方針へとバグバウンティプログラムが移行してから十年、AIツールの新たな波が脆弱性調査の経済性を覆しつつある。エージェント型AIシステムはソフトウェアの弱点を見つける能力とエクスプロイトを作成する能力の両方で向上しており、組織が自ら多くのバグを発見する一方で、開示プログラムにはより多くの提出が殺到している。

その結果、研究者、企業、攻撃者の間で軍拡競争が激化している。自身の作業でAIを活用するためのツールや手法を構築してきた独立系セキュリティ研究者のJoseph Thackerは、昨年の同時期と比べておおむね3倍のバグを提出していると述べた。彼はこの圧力がまず大企業に襲いかかると予想している。

「私はGoogleのような企業が昨年よりもバグ報奨金の支出を2倍から10倍に増やすだろうと推測します」とThackerは語った。

彼は大手テクノロジー企業は増加を吸収できるが、多くの企業はそうできないと付け加えた。彼の見解では、AIシステムはすでに比較的簡単な脆弱性を見つけており、来年には多くの取りやすいバグが既に見つかれてしまっているため、提出できる“低い実り”が少なくなっている可能性があるという。

開示期限が圧迫される

この変化は責任ある開示に関する長年の慣習にも挑戦を突きつけている。セキュリティ研究者のHimanshu Anandは今月初めに、90日間の開示ウィンドウはバグ発見者が希少でエクスプロイト開発が遅かった世界のために作られたものであり、大規模言語モデルは両方のタイムラインを短縮してしまったと書いた。

この短縮は、攻撃者が脆弱性を以前より速く発見して武器化できるならば、開発者をより速くパッチを公開するよう押しやる可能性がある。また、パッチを展開するときには十分なテストが行われないと新たな問題を引き起こすため常に困難だったが、組織が内部で修正をより迅速に展開する方法を改善する必要性を突きつけるかもしれない。

バグバウンティプログラム自体もすでに劇的に進化している。Appleが2016年に報奨金プログラムを開始したとき、最高報酬は$200,000だった。同社は2019年にそれを$1,000,000に引き上げ、昨年には$2,000,000にした。

今や、AIがバグの供給量とエクスプロイト作成の速度の両方を増加させているため、研究者たちは脆弱性調査の次の段階はこれまでとは非常に異なる姿になるだろうと述べている。

出典:

wired.com