Програми bug bounty протягом десятиліть залишаються одним із ключових механізмів захисту в індустрії кібербезпеки. Вони дозволяють незалежним дослідникам етично повідомляти про вразливості до того, як їх зможуть використати зловмисники. Однак останнім часом система зіткнулася з серйозним викликом — напливом автоматизованих звітів, створених за допомогою інструментів штучного інтелекту. Це змусило GitHub переглянути підходи до фільтрації заявок та змінити структуру виплат, щоб зберегти працездатність команди безпеки.
Нові стандарти та боротьба з AI slop
Jarom Brown, старший інженер із безпеки продуктів у GitHub, повідомив про критичне зростання кількості заявок, які не мають належної валідації. Багато звітів, згенерованих ШІ, позбавлені робочих прикладів експлуатації (proof-of-concept) або чітких доказів того, що реальний бар'єр безпеки було подолано. "Інструменти не мають значення. Важлива якість роботи" — зазначив Jarom Brown. Компанія підкреслює, що вона не виступає проти використання технологій ШІ дослідниками, проте очікує від них глибшого аналізу, а не простого копіювання результатів роботи чат-ботів.
Відтепер для отримання грошової винагороди дослідники повинні надавати діючі сценарії експлуатації та чітко демонструвати вплив вразливості на безпеку системи. Ті звіти, що виявляють лише теоретичні можливості посилення захисту або помилки в документації, більше не підлягають кеш-виплатам. Замість грошей за такі знахідки GitHub пропонуватиме фірмову продукцію компанії (swag). Це рішення має на меті розвантажити фахівців, які змушені витрачати години на аналіз багатосторінкових теоретичних розповідей, де реальна суть проблеми часто губиться за штучно згенерованим текстом. Ця проблема отримала назву AI slop — низькоякісний контент, що засмічує робочі процеси.
Перспективи та розвиток ринку
Ця новина з'явилася на тлі активності інших гравців ринку, як-от Anthropic, яка нещодавно відкрила свою публічну програму на HackerOne. Водночас Anthropic представила модель Claude Mythos, розроблену спеціально для ідентифікації ланцюжків вразливостей. Це створює цікавий парадокс: компанії просувають автономні системи кібербезпеки, але все ще гостро потребують людського інтелекту для верифікації реальних загроз. Ймовірно, найближчим часом ми побачимо подальшу спеціалізацію баг-баунті, де рутинна перевірка повністю перейде до ШІ, а люди зосередяться на найбільш складних та креативних атаках, які не під силу алгоритмам.