Индустрия кибербезопасности столкнулась с новым вызовом: массовым наплывом ложных отчетов об уязвимостях, созданных искусственным интеллектом. Даниэль Стенберг, основатель популярного проекта Curl, охарактеризовал ситуацию как DDoS-атаку на процесс обработки уязвимостей, которая существенно затрудняет работу специалистов по безопасности.
Масштаб проблемы и меры противодействия
По данным платформы HackerOne, за последние 90 дней было получено более 20 отчетов о предполагаемых уязвимостях в Curl, однако ни один из них не подтвердился и не привел к выплате вознаграждения. Особенно тревожным является тот факт, что количество ИИ-генерируемых отчетов постоянно растет, хотя ни один из них не содержал достоверной информации о реальных уязвимостях.
Новые требования к отчетам об уязвимостях
В ответ на сложившуюся ситуацию команда Curl ввела обязательное требование: каждый отчет должен содержать информацию об использовании ИИ при его создании. Авторы отчетов, уличенные в предоставлении ложной информации, сгенерированной искусственным интеллектом, будут немедленно заблокированы. Программа bug bounty проекта предусматривает вознаграждение до $9200 за критические уязвимости, и с 2019 года было выплачено $86000 за подтвержденные находки.
Влияние на сообщество разработчиков
Проблема затрагивает не только новичков, но и опытных специалистов. Показательным стал случай, когда исследователь с хорошей репутацией представил отчет о несуществующих уязвимостях в HTTP/3 стеке, сгенерированный с помощью ИИ. Подобные инциденты подрывают доверие к системе отчетности и создают дополнительную нагрузку на команды разработчиков.
Системная проблема Open Source проектов
Сет Ларсон, разработчик Python, подтверждает серьезность ситуации, отмечая, что проверка ложных отчетов требует значительных ресурсов и может привести к выгоранию специалистов. Низкокачественные ИИ-генерируемые отчеты фактически становятся формой непреднамеренной атаки на инфраструктуру безопасности открытого ПО.
Ситуация с ложными отчетами об уязвимостях демонстрирует необходимость разработки новых подходов к верификации сообщений о проблемах безопасности в эпоху повсеместного использования ИИ. Это может включать автоматизированные системы предварительной проверки отчетов, более строгие требования к документации и усиленную ответственность за предоставление заведомо ложной информации.
