AI je pojeftinio lažne sigurnosne prijave, a bug bounty sada plaća cijenu
A security operations desk buried under a storm of AI-generated vulnerability reports, with a few real exploit signals glowing through the noise.📷 AI-generated image / TECH&SPACE
- ★Bugcrowd je u ožujku zabilježio više nego četverostruki rast bug bounty prijava u tri tjedna.
- ★Curl je u siječnju suspendirao plaćeni bug bounty program zbog AI-generiranih prijava.
- ★Veliki programi ostaju vrijedni, ali ekonomika triže sada puca pod količinom slabih nalaza.
Bug bounty programi dugo su funkcionirali na jednostavnoj razmjeni: neovisni istraživači prijave stvarnu ranjivost, tvrtka je provjeri i, ako je nalaz vrijedan, isplati nagradu. Prema izvještaju Ars Technice, taj se model sada sudara s novom vrstom otpada: AI-generiranim prijavama koje zvuče stručno, ali često ne sadrže provjerljiv dokaz, iskoristiv korak reprodukcije ili stvaran sigurnosni utjecaj.
Najjasniji signal nije samo anegdotalan. U istražnom sažetku navodi se da su se prijave na Bugcrowdu u ožujku više nego učetverostručile tijekom tri tjedna. To ne znači da se odjednom učetverostručio broj stvarnih ranjivosti. Vjerojatniji problem je da su alati za generiranje teksta i koda snizili cijenu slanja uvjerljivo oblikovane, ali slabe prijave na gotovo nulu.
Niska cijena generiranja lažnih ili slabih prijava mijenja ekonomiju sigurnosnih nagrada: triža postaje jednako važna kao i samo otkrivanje ranjivosti.
A close technical triage scene where human security analysts separate reproducible bug evidence from template-like AI reports.📷 AI-generated image / TECH&SPACE
Curl je ekstremniji primjer. Projekt je u siječnju suspendirao svoj plaćeni bug bounty program zbog AI-generiranih prijava. Za otvoreni projekt poput curla, koji održava kritičan alat i biblioteku prisutnu u golemom broju sustava, vrijeme održavatelja nije apstraktan resurs. Svaka loša prijava znači čitanje, pokušaj reprodukcije, procjenu rizika i odgovor. Kad je omjer korisnih nalaza loš, program koji je trebao povećati sigurnost počinje trošiti ljude koji sigurnost zapravo održavaju.
Problem je posebno neugodan jer bug bounty programi nisu marginalna igra. Googleov program nagrada za ranjivosti, prema navedenom kontekstu, isplatio je 17 milijuna dolara u 2022., a veliki ekosustavi već godinama koriste javne i privatne programe kao dodatni sloj obrane. Platforme poput HackerOnea i Bugcrowda profesionalizirale su odnos između istraživača i tvrtki, ali AI slop napada upravo operativni spoj: početnu provjeru.
To ne znači da bug bounty nestaje. Izvorni citat u sažetku dobro pogađa smjer: programi će ostati, ali morat će se promijeniti. Mogući odgovor nije samo strože odbijanje, nego jasniji dokazni pragovi, reputacijski filtri, veći naglasak na reproducibilnim koracima, automatska detekcija šablonskih prijava i možda sporiji ulazak novih prijavitelja u plaćene tokove. Drugim riječima, sigurnosni programi sada moraju braniti i vlastiti proces.
Ovo je jedna od praktičnijih posljedica generativne AI. Nije riječ o spektakularnom proboju, nego o promjeni troška. Kad bilo tko može u minuti proizvesti tekst koji nalikuje sigurnosnom izvještaju, vrijednost se premješta s pisanja prijave na dokazivanje nalaza. Za tvrtke, to znači da se bug bounty više ne može voditi kao otvoreni inbox s novčanim nagradama na kraju. Mora postati sustav triže s jasnim signalima kvalitete, inače će najvrjedniji istraživači i interni sigurnosni timovi završiti zakopani pod lažnim radom.
