AI Menjadikan Pemburuan Pepijat Lebih Pantas dan Lebih Mahal
AI sedang mengubah pemburuan pepijat
Sepuluh tahun selepas program ganjaran pepijat beralih dari amalan keselamatan niche kepada dasar korporat arus perdana, gelombang baru alat AI sedang menggoyangkan ekonomi penyelidikan kerentanan. Sistem AI beragentik semakin mahir sama ada dalam menemui kelemahan perisian mahupun menghasilkan eksploit, membanjiri program pendedahan dengan lebih banyak penyerahan walaupun organisasi juga menemui lebih banyak pepijat sendiri.
Hasilnya ialah perlumbaan senjata yang semakin sengit antara penyelidik, syarikat dan penyerang. Penyelidik keselamatan bebas Joseph Thacker, yang telah membina alat dan kaedah untuk menggunakan AI dalam kerjanya sendiri, berkata beliau telah menghantar kira-kira tiga kali ganda lebih banyak pepijat berbanding pada masa ini tahun lalu. Dia menjangka tekanan itu akan melanda syarikat besar terlebih dahulu.
“Saya menganggapkan syarikat seperti Google akan membelanjakan dua hingga 10 kali lebih banyak untuk bayaran ganjaran pepijat berbanding tahun lalu,” kata Thacker.
Beliau menambah bahawa syarikat teknologi besar dapat menyerap peningkatan itu, tetapi banyak syarikat lain tidak dapat. Pada pandangannya, sistem AI sudah pun menemui kerentanan yang lebih mudah, dan tahun depan mungkin akan ada lebih sedikit pepijat yang mudah ditemui yang tinggal untuk dihantar kerana banyak daripadanya sudah akan ditemui.
Garis masa pendedahan berada di bawah tekanan
Peralihan ini juga mencabar norma lama mengenai pendedahan bertanggungjawab. Penyelidik keselamatan Himanshu Anand menulis awal bulan ini bahawa tetingkap pendedahan 90 hari dibina untuk dunia di mana pencari pepijat jarang dan pembangunan eksploit perlahan, dan menambah bahawa model bahasa besar telah memendekkan kedua-dua garis masa itu.
Pemendekan itu boleh mendorong pembangun untuk mengeluarkan tampalan dengan lebih cepat, terutamanya jika penyerang dapat menemui dan mengsenjatakan kelemahan lebih pantas daripada sebelum ini. Ia juga mungkin memaksa organisasi memperbaiki seberapa cepat mereka mengeluarkan pembetulan dalaman, satu proses yang sentiasa sukar kerana tampalan boleh mencetuskan masalah baru jika dikeluarkan tanpa ujian mencukupi.
Program ganjaran pepijat sendiri telah pun berubah dengan ketara. Apabila Apple melancarkan program ganjarannya pada 2016, ganjaran tertingginya adalah $200,000. Syarikat itu menaikkannya kepada $1 juta pada 2019 dan kemudian kepada $2 juta tahun lalu.
Sekarang, dengan AI meningkatkan kedua-dua bekalan pepijat dan kelajuan penciptaan eksploit, para penyelidik berkata fasa seterusnya penyelidikan kerentanan dijangka kelihatan sangat berbeza daripada yang sebelumnya.
Sumber: