An ninh mạngnewsAI và Công nghệ

AI đang biến săn lỗi thành một cuộc chạy đua vũ trang nhanh hơn và tốn kém hơn

bởi Doppler Team3 phút đọc
AI đang biến săn lỗi thành một cuộc chạy đua vũ trang nhanh hơn và tốn kém hơn

AI đang tái định hình việc săn lỗi

Một thập kỷ sau khi các chương trình thưởng lỗi chuyển từ thực hành an ninh ngách thành chính sách phổ biến trong doanh nghiệp, làn sóng công cụ AI mới đang làm xáo trộn cấu trúc kinh tế của nghiên cứu lỗ hổng. Các hệ thống AI tác nhân ngày càng giỏi hơn cả trong việc tìm điểm yếu phần mềm lẫn phát triển khai thác, tràn ngập các chương trình công bố bằng nhiều báo cáo hơn trong khi các tổ chức cũng tự phát hiện nhiều lỗi hơn.

Hệ quả là một cuộc chạy đua vũ trang ngày càng gay gắt giữa các nhà nghiên cứu, công ty và kẻ tấn công. Nhà nghiên cứu an ninh độc lập Joseph Thacker, người đã xây dựng công cụ và phương pháp dùng AI trong công việc của mình, cho biết ông đã gửi khoảng gấp ba lần số lỗ hổng so với thời điểm này năm ngoái. Ông dự đoán áp lực sẽ tác động lên các công ty lớn trước tiên.

"Tôi nghi rằng một công ty như Google sẽ chi từ hai đến mười lần số tiền cho các khoản thưởng lỗi so với năm ngoái," Thacker nói.

Ông thêm rằng các công ty công nghệ lớn có thể hấp thụ mức tăng này, nhưng nhiều công ty khác thì không. Theo ông, các hệ thống AI đã và đang tìm thấy những lỗ hổng dễ hơn, và sang năm có thể sẽ còn ít lỗ hổng dễ tìm sót lại để gửi báo cáo bởi vì nhiều trong số đó đã bị phát hiện.

Những hạn chót công bố đang chịu áp lực

Sự chuyển dịch này cũng đang thách thức những chuẩn mực lâu đời về tiết lộ có trách nhiệm. Nhà nghiên cứu an ninh Himanshu Anand viết hồi đầu tháng rằng khoảng thời gian công bố 90 ngày được xây dựng cho một thế giới nơi người tìm lỗ hổng hiếm và việc phát triển khai thác chậm, đồng thời các mô hình ngôn ngữ lớn đã làm nén cả hai mốc thời gian đó.

Sự nén này có thể thúc đẩy các nhà phát triển phát hành bản vá nhanh hơn, đặc biệt nếu kẻ tấn công có thể phát hiện và vũ khí hóa các lỗi nhanh hơn trước. Nó cũng có thể buộc các tổ chức cải thiện tốc độ triển khai sửa lỗi nội bộ, một quy trình vốn luôn khó khăn vì các bản vá có thể tạo ra vấn đề mới nếu được tung ra mà không đủ kiểm thử.

Chính các chương trình thưởng lỗi cũng đã tiến hóa mạnh mẽ. Khi Apple ra mắt chương trình thưởng của họ vào năm 2016, phần thưởng cao nhất là 200.000 USD. Công ty đã nâng lên 1 triệu USD vào năm 2019 và rồi lên 2 triệu USD vào năm ngoái.

Giờ đây, với việc AI làm tăng cả nguồn cung lỗ hổng lẫn tốc độ tạo khai thác, các nhà nghiên cứu cho rằng giai đoạn tiếp theo của nghiên cứu lỗ hổng có khả năng trông rất khác so với trước đây.

Nguồn:

An ninh mạngnewsAI và Công nghệ

Chia sẻ bài viết

Bảo vệ việc duyệt web của bạn. Doppler VPN không cần đăng ký và không lưu bất kỳ nhật ký nào. Dùng thử miễn phí 3 ngày.

Dùng thử miễn phí 3 ngày