IA Está Transformando a Caça a Bugs em uma Corrida Armamentista Mais Rápida e Cara
A IA está remodelando a caça a bugs
Uma década depois que programas de recompensa por bugs passaram de prática de segurança de nicho a política corporativa mainstream, uma nova onda de ferramentas de IA está mudando a economia da pesquisa de vulnerabilidades. Sistemas de IA com capacidade de agir autonomamente estão ficando melhores tanto em encontrar falhas de software quanto em desenvolver códigos de exploração, inundando programas de divulgação com mais submissões mesmo enquanto organizações descobrem mais bugs por conta própria.
O resultado é uma corrida armamentista mais acirrada entre pesquisadores, empresas e atacantes. O pesquisador de segurança independente Joseph Thacker, que desenvolveu ferramentas e métodos para usar IA em seu próprio trabalho, disse que submeteu aproximadamente três vezes mais bugs do que havia submetido até este ponto no ano passado. Ele espera que a pressão atinja as grandes empresas primeiro.
"Eu suspeitaria que uma empresa como Google vai gastar de duas a dez vezes mais em pagamentos por bugs do que gastou no ano passado", disse Thacker.
Ele acrescentou que grandes empresas de tecnologia podem absorver o aumento, mas muitas outras não. Em sua opinião, sistemas de IA já estão encontrando vulnerabilidades mais fáceis, e no próximo ano pode haver menos bugs de baixa complexidade disponíveis para submissão porque muitos já terão sido encontrados.
Prazos de divulgação sob pressão
A mudança também desafia normas de longa data sobre divulgação responsável. O pesquisador de segurança Himanshu Anand escreveu no início deste mês que a janela de divulgação de 90 dias foi criada para um mundo em que descobridores de bugs eram raros e o desenvolvimento de exploits era lento, acrescentando que modelos de linguagem de grande porte comprimiram ambos os prazos.
Essa compressão pode pressionar desenvolvedores a lançar correções mais rapidamente, especialmente se atacantes conseguirem descobrir e transformar falhas em armas mais rapidamente do que antes. Também pode forçar organizações a melhorar a velocidade com que aplicam correções internamente, um processo que sempre foi difícil porque patches podem criar novos problemas se forem implantados sem testes suficientes.
Os próprios programas de recompensa por bugs já evoluíram dramaticamente. Quando a Apple lançou seu programa de recompensas em 2016, sua recompensa máxima era $200.000. A empresa aumentou isso para $1 milhão em 2019 e depois para $2 milhões no ano passado.
Agora, com a IA aumentando tanto a oferta de bugs quanto a velocidade de criação de códigos de exploração, pesquisadores dizem que a próxima fase da pesquisa de vulnerabilidades provavelmente será muito diferente da anterior.
Fontes: