Компании, которые ввели систему поощрения за поиск уязвимостей в ПО, оказались вынуждены свернуть эту программу из-за большого потока сообщений, сгенерированных ИИ, пишет FT. Большинство таких сообщений оказываются ложными
Фото: Christian Charisius / dpa / Global Look Press
Компании, которые платят хакерам за поиск уязвимостей в программном обеспечении, столкнулись с потоком низкокачественных отчетов, созданных с помощью искусственного интеллекта, из-за чего некоторые из них начали приостанавливать свои программы поощрений за поиск уязвимостей, сообщает Financial Times (FT).
Как пишет газета, сервис Bugcrowd, работающий с OpenAI, T-Mobile и Motorola, зафиксировал более чем четырехкратный рост числа сообщений об уязвимостях за три недели марта — большинство из них оказались ложными или бесполезными. Разработчик инструмента Curl в январе заморозил свою программу выплат за найденные ошибки, объяснив это «резким ростом числа сообщений, созданных ИИ». По той же причине программу поощрений приостановила компания Nextcloud.
Эксперты по кибербезопасности отметили, что генеративный ИИ одновременно помогает опытным исследователям быстрее находить уязвимости и резко снижает порог входа для новичков, передает FT. В результате компании получают поток автоматизированных и ошибочных отчетов, которые приходится вручную проверять.
Главный специалист по информационной безопасности Sophos Росс МакКерчар назвал ситуацию «серьезной проблемой». По его словам, часть ложных заявок отправляют начинающие пользователи, часть — опытные исследователи, которые слишком доверяют ИИ-инструментам. Кроме того, появились разработчики, создающие автоматические системы для массового поиска и отправки отчетов.
Рост числа ИИ-отчетов, как пишет FT, совпал с запуском компанией Anthropic модели Mythos, предназначенной для поиска программных ошибок. При этом компании, реализующие программы вознаграждения за обнаружение уязвимостей, начали вводить более строгие проверки данных для борьбы с этой проблемой, а также разрабатывать агентов на основе искусственного интеллекта для сортировки поступающих сообщений, отметила газета.
На этом фоне платформы вроде HackerOne начали внедрять дополнительные проверки и собственные ИИ-инструменты для фильтрации заявок. При этом в компании подчеркивают, что не хотят полностью отказываться от отчетов, созданных с помощью ИИ, поскольку такие технологии, по заявлению компании, помогают находить больше уязвимостей.
В начале года агентства Spektr и СКОТЧ провели исследование, в рамках которого показали тысяче респондентов пять изображений в случайном порядке — одно реальное и четыре сгенерированных ИИ. В результате три четверти пользователей (77%) не смогли увидеть разницу между реальной фотографией и сгенерированным изображением.
Оставайтесь на связи с РБК в «Максе».