Satu dekade yang lalu, program yang memberikan penghargaan kepada para peneliti karena telah mengirimkan temuan kerentanan perangkat lunak mulai menjadi hal yang umum. Pengungkapan kerentanan dan program “bug bounty” mewakili perubahan paradigma yang sedang terjadi selama bertahun-tahun—memindahkan institusi permusuhan dan sikap defensif terhadap temuan penelitian keamanan hingga pengakuan bahwa menerima masukan dan merilis perbaikan memang diperlukan. Ketika Apple akhirnya mengumumkan bug bounty pada tahun 2016, hadiah tertingginya adalah $200.000. Jumlahnya meningkat menjadi $1 juta 2019 dan $2 juta tahun lalu. Namun semua itu akan berubah lagi.
Sebagai model AI agen menjadi lebih mahir dalam mengidentifikasi kerentanan perangkat lunak secara mandiri dan mengembangkan eksploitasinya—dengan kata lain, mengidentifikasi kelemahan dan menciptakan alat peretasan—program pengungkapan kerentanan juga dibanjiri seperti halnya organisasi. menemukan lebih banyak bug dari sebelumnya diri. Ini kelimpahan mengubah sistem pemberian hadiah serangga bagi institusi yang meminta masukan dan peneliti, yang beberapa di antaranya saat ini mencari nafkah atau menambah penghasilan mereka dengan berburu serangga. Dan, yang terpenting, situasi juga berubah seiring dengan perubahan yang terjadi pada penyerang.
“Saya mungkin telah mengirimkan bug tiga kali lebih banyak dibandingkan tahun lalu—saya menduga perusahaan seperti Google akan menghabiskan dua hingga 10 kali lebih banyak untuk pembayaran bug dibandingkan tahun lalu,” kata peneliti keamanan independen Joseph Thacker, yang telah mengembangkan metode dan alat untuk menggunakan AI dalam perburuan bug miliknya.
Raksasa teknologi, tambahnya, “dapat mengatasi tekanan tersebut, namun sebagian besar perusahaan tidak dapat melakukannya. Saat ini orang-orang akan mengirimkan hasil yang rendah dan menengah—agen akan menemukan bug yang sangat bagus. Namun tahun depan akan ada lebih sedikit bug yang dikirimkan karena banyak bug yang telah ditemukan, dan saya pikir beberapa perusahaan akan menaikkan pembayaran mereka lagi.”
Thacker dan peneliti lain dengan mudah mengakui, bahwa tidak ada yang tahu persis bagaimana dinamika penawaran dan permintaan akan terjadi dalam jangka panjang. Dan bergantung pada seberapa efektif penemuan eksploitasi AI dan pemindaian sistem otomatis bagi penyerang, pengembang mungkin mulai merasakan tekanan yang lebih besar untuk segera merilis patch—yang berpotensi mempercepat perbaikan yang sudah lama dan lama. diperoleh dengan susah payah standar seperti tenggat waktu pengungkapan 90 hari (menetapkan rentang waktu antara menemukan bug dan mengungkapkannya secara publik yang sering kali memacu rilis patch).
Sebagai peneliti keamanan Himanshu Anand menulis awal bulan ini, “Jendela pengungkapan bertanggung jawab selama 90 hari dibangun untuk dunia di mana pencari bug jarang ditemukan dan pengembangan eksploitasi berjalan lambat. Dunia tersebut telah hilang. LLM telah memampatkan kedua jadwal tersebut.”
Yang terpenting, akuntabilitas yang dipaksakan oleh penyerang juga dapat memotivasi perbaikan dalam kecepatan organisasi menerapkan perbaikan kerentanan pada sistem mereka. Proliferasi patch selalu menjadi tantangan keamanan yang penting namun kompleks mengingat, tanpa pengujian yang tepat, instalasi perangkat lunak baru dalam skala besar dapat menimbulkan konsekuensi yang tidak diinginkan, termasuk skenario terburuk seperti pemadaman listrik.
Urgensi serangan di dunia nyata difasilitasi oleh AI tampaknya semakin berkembang, dengan kecanggihan dan kurang mahir aktor yang ingin memperluas kemampuan mereka dan memangkas biaya. Di dalam temuan diterbitkan awal bulan ini, misalnya, peneliti Google mengatakan bahwa mereka telah mengamati “aktor ancaman kejahatan dunia maya terkemuka” (yang mereka tolak untuk diidentifikasi) mencoba mengeksploitasi nol hari—atau yang sebelumnya tidak diketahui—kerentanan yang mereka kembangkan menggunakan alat AI untuk dilewati otentikasi dua faktor pada platform administrasi sistem sumber terbuka. Google dengan cepat memberi tahu pengembang dan mereka mengeluarkan perbaikan untuk kekurangan tersebut. Namun para peneliti mengatakan kejadian itu adalah ilustrasi penting dari perubahan lanskap perburuan serangga.
“Kami semua berasumsi hal ini sudah terjadi, dan ini adalah bukti pertama kami bahwa hal ini sedang terjadi,” kata John Hultquist, kepala analis Google Threat Intelligence Group, tentang penyerang yang menggunakan AI untuk menemukan kerentanan baru dan menciptakan eksploitasi.
“Permasalahan negara merupakan hal yang sangat serius dan sangat nyata, namun aktor kriminal masih menjadi penyebab sebagian besar insiden yang ditangani oleh organisasi dan sebagian besar dari insiden tersebut cukup serius,” Hultquist menambahkan. “Penggunaan zero-day oleh para pelaku kriminal masih sangat terbatas, dan mereka yang menggunakannya cenderung sangat berhasil, jadi menurut saya kita tidak boleh meremehkan dampak dari banyaknya penjahat yang memiliki zero day di tangan mereka.”
Namun, bagi para peneliti yang menghasilkan uang melalui perburuan serangga, zaman sedang berubah. Alat baris perintah Curl mengakhiri program bug bounty (dijalankan melalui layanan pihak ketiga HackerOne) pada bulan Januari setelah dibanjiri dengan kiriman berkualitas rendah yang dihasilkan oleh AI.
“Kami telah menyimpulkan bahwa hadiah bug memberikan insentif yang terlalu kuat kepada orang-orang untuk menemukan dan mengarang ‘masalah’ dengan itikad buruk yang menyebabkan kelebihan beban dan penyalahgunaan,” kelompok tersebut menulis pada saat itu, menambahkan bahwa “kami masih menghargai dan menghargai laporan kerentanan yang valid.”
Minggu lalu, pencipta Linux dan pengembang utama Linus Torvalds menulis bahwa milis keamanan Linux yang terkenal telah menjadi “hampir seluruhnya tidak dapat dikelola” karena volume tinggi dan duplikat laporan bug AI.
Namun pada bulan April, Daniel Stenberg, pendiri dan pengembang utama Curl, mengatakan di LinkedIn pos bahwa kualitas kiriman telah meningkat. “Selama beberapa bulan terakhir, kami berhenti menerima laporan keamanan AI dalam proyek curl,” tulisnya. “Sebaliknya, kami mendapatkan semakin banyak laporan keamanan yang sangat baik, hampir semuanya dilakukan dengan bantuan AI. Laporan tersebut dikirimkan dalam frekuensi yang belum pernah terlihat sebelumnya dan menempatkan kami dalam beban yang serius.”
Dan pada akhir April, Google diumumkan bahwa mereka sedang merombak Program Imbalan Kerentanan untuk Chrome dan Android dan menurunkan pembayaran untuk beberapa jenis bug, sekaligus meningkatkan jenis bug lainnya.
“Seiring dengan berkembangnya lanskap penelitian keamanan dengan AI, kami membuat perubahan dalam program kami untuk memastikan kami memberikan imbalan terhadap kerentanan yang paling menantang dan berdampak pada produk kami,” tulis perusahaan tersebut.
“Saya pikir pemburu bug persentil ke-90 dengan keterampilan khusus akan selalu dapat memperoleh temuan dan mendapatkan pembayaran dari perusahaan besar,” kata Jonathan Dunn, seorang ahli jantung yang juga merupakan pemburu bug bounty. “Tetapi bahkan dengan AI, kita juga perlu memberikan insentif yang besar kepada para peneliti yang beretika untuk menemukan hal-hal mengenai infrastruktur publik dan sistem penting lainnya yang mungkin tidak mendapat cukup perhatian dari para pembela HAM.”
Untuk saat ini, sebagian besar organisasi tampaknya siap memberikan setiap solusi yang dapat mereka pikirkan untuk mengatasi masalah (dan manfaat) dari percepatan penemuan bug. “Hal ini mengubah dinamika industri perburuan bug, namun hal ini masih membutuhkan waktu manusia,” kata Alex Zenla, chief technology officer di perusahaan keamanan cloud Edera.
Awal bulan ini, Anthropic meluncurkan a Hadiah bug HackerOne bagi para peneliti untuk menyerahkan temuan pada sistem milik perusahaan dan model Claude AI. Namun, beberapa peneliti semakin berpendapat bahwa pertahanan struktural diperlukan untuk mengatasi percepatan penemuan kerentanan. Dengan kata lain, mereka merancang solusi digital untuk berbagai kelas kerentanan yang berbeda hilangkan mereka atau menjadikannya kurang dapat dieksploitasi dalam praktiknya.
“Anda tidak dapat menemukan jalan keluar dari masalah ini,” kata insinyur dan peneliti keamanan lama Niels Provos. “Anda perlu membangun infrastruktur yang membuat sebanyak mungkin bug menjadi tidak relevan.”
