ИИ превращает охоту за уязвимостями в более быструю и затратную гонку вооружений
ИИ меняет подход к поиску уязвимостей
Спустя десятилетие после того, как программы вознаграждений за уязвимости перешли из нишевой практики безопасности в мейнстрим корпоративной политики, новая волна инструментов ИИ переворачивает экономику исследований уязвимостей. Агентные системы ИИ всё лучше справляются как с поиском слабых мест в программном обеспечении, так и с разработкой эксплойтов, заваливая программы раскрытия уязвимостей большим количеством отчётов, даже когда организации сами обнаруживают больше ошибок.
В результате обостряется гонка вооружений между исследователями, компаниями и злоумышленниками. Независимый исследователь безопасности Joseph Thacker, который разработал инструменты и методы применения ИИ в своей работе, заявил, что он отправил примерно в три раза больше отчётов об уязвимостях, чем к этому моменту в прошлом году. Он ожидает, что давление сначала ударит по крупным компаниям.
"Я полагаю, что такая компания, как Google, будет тратить в 2–10 раз больше на выплаты за уязвимости, чем в прошлом году", — сказал Thacker.
Он добавил, что крупные технологические компании могут поглотить это увеличение затрат, но многие другие — нет. По его мнению, системы ИИ уже находят более простые уязвимости, и в следующем году может оказаться, что меньше слабых и легко доступных багов останется для подачи, потому что многие из них уже будут найдены.
Сроки раскрытия под давлением
Сдвиг также ставит под сомнение исторически сложившиеся нормы ответственного раскрытия. Исследователь безопасности Himanshu Anand написал ранее в этом месяце, что 90‑дневное окно раскрытия было задумано для мира, где искателей багов было мало, а разработка эксплойтов шла медленно, добавив, что большие языковые модели сжали оба этих временных промежутка.
Эта компрессия может подтолкнуть разработчиков к более быстрому выпуску исправлений, особенно если злоумышленники смогут обнаруживать и превращать уязвимости в оружие быстрее, чем раньше. Это также может вынудить организации улучшить скорость внутреннего развертывания исправлений — процесс, который всегда был сложным, потому что патчи могут создавать новые проблемы при внедрении без достаточного тестирования.
Сами программы вознаграждений за уязвимости уже претерпели значительные изменения. Когда Apple запустила свою программу вознаграждений в 2016 году, её максимальная награда составляла $200,000. Компания увеличила её до $1 миллиона в 2019 году, а затем до $2 миллионов в прошлом году.
Теперь, с тем что ИИ увеличивает и объём найденных уязвимостей, и скорость создания эксплойтов, исследователи говорят, что следующий этап исследований уязвимостей, скорее всего, будет сильно отличаться от предыдущего.
Источники: