ปัญญาประดิษฐ์กำลังก่อให้การล่าบั๊กกลายเป็นการแข่งขันอาวุธที่เร็วขึ้นและแพงขึ้น
ปัญญาประดิษฐ์กำลังกำหนดรูปแบบใหม่ของการล่าบั๊ก
สิบปีหลังจากที่โปรแกรมรางวัลบั๊กเปลี่ยนจากแนวปฏิบัติด้านความปลอดภัยแบบเฉพาะทางมาเป็นนโยบายหลักของบริษัท กลุ่มเครื่องมือปัญญาประดิษฐ์ชุดใหม่กำลังกระทบต่อเศรษฐศาสตร์ของงานวิจัยช่องโหว่ ระบบปัญญาประดิษฐ์แบบมีตัวแทนกำลังทำได้ดีขึ้นทั้งในการค้นหาจุดอ่อนของซอฟต์แวร์และในการพัฒนาเครื่องมือโจมตี ทำให้โปรแกรมการเปิดเผยช่องโหว่ได้รับการส่งผลการค้นพบเข้ามามากขึ้น แม้องค์กรต่างๆ จะค้นพบบั๊กด้วยตัวเองมากขึ้นเช่นกัน
ผลลัพธ์คือการแข่งขันอาวุธที่ทวีความเข้มข้นระหว่างนักวิจัย บริษัท และผู้โจมตี นักวิจัยด้านความปลอดภัยอิสระ Joseph Thacker ผู้ซึ่งสร้างเครื่องมือและวิธีการใช้ปัญญาประดิษฐ์ในงานของตัวเอง กล่าวว่าเขาได้ส่งบั๊กประมาณสามเท่ามากกว่าจนถึงจุดนี้ของปีที่แล้ว เขาคาดว่าความกดดันจะกระทบบริษัทใหญ่ก่อน
"ผมคาดว่าบริษัทอย่าง Google จะใช้จ่ายสำหรับรางวัลบั๊กมากขึ้นสองถึงสิบเท่าเมื่อเทียบกับปีที่แล้ว" Thacker กล่าว
เขาเพิ่มเติมว่าบริษัทเทคโนโลยีขนาดใหญ่สามารถรองรับการเพิ่มขึ้นนี้ได้ แต่หลายบริษัทไม่สามารถทำได้ ในมุมมองของเขา ระบบปัญญาประดิษฐ์กำลังค้นพบช่องโหว่ง่ายๆ มากขึ้นแล้ว และปีหน้าบางทีอาจจะมีบั๊กชั้นล่างที่เหลือน้อยลงให้ส่งเข้ารายการ เพราะหลายรายการอาจถูกค้นพบไปแล้ว
กรอบเวลาในการเปิดเผยถูกกดดัน
การเปลี่ยนแปลงนี้ยังท้าทายบรรทัดฐานระยะยาวเกี่ยวกับการแจ้งช่องโหว่อย่างรับผิดชอบ นักวิจัยด้านความปลอดภัย Himanshu Anand เขียนเมื่อต้นเดือนนี้ว่า ระยะเวลาเปิดเผย 90 วันถูกออกแบบมาสำหรับโลกที่ผู้ค้นพบบั๊กมีจำนวนน้อยและการพัฒนาเครื่องมือโจมตีค่อนข้างช้า โดยเพิ่มว่าโมเดลภาษาขนาดใหญ่ได้ย่อให้ทั้งสองเส้นเวลาสั้นลง
การย่อเส้นเวลาเช่นนี้อาจผลักดันให้ผู้พัฒนาต้องปล่อยแพตช์เร็วขึ้น โดยเฉพาะหากผู้โจมตีสามารถค้นพบและนำช่องโหว่ไปใช้โจมตีได้เร็วกว่าเดิม มันอาจบีบบังคับให้องค์กรปรับปรุงความรวดเร็วในการนำการแก้ไขไปใช้งานภายในด้วย ซึ่งเป็นกระบวนการที่ยากเสมอเพราะแพตช์อาจสร้างปัญหาใหม่หากนำไปใช้งานโดยไม่ผ่านการทดสอบเพียงพอ
โปรแกรมรางวัลบั๊กเองก็ได้พัฒนาไปอย่างมาก เมื่อ Apple เปิดโปรแกรมรางวัลในปี 2016 รางวัลสูงสุดของบริษัทคือ $200,000 บริษัทเพิ่มเป็น $1 ล้านในปี 2019 และจากนั้นเป็น $2 ล้านเมื่อปีที่แล้ว
ตอนนี้ เมื่อปัญญาประดิษฐ์เพิ่มทั้งปริมาณของบั๊กและความเร็วในการสร้างเครื่องมือโจมตี นักวิจัยกล่าวว่าขั้นต่อไปของงานวิจัยช่องโหว่อาจดูแตกต่างไปมากจากสิ่งที่เคยเป็นมา
ที่มา: