Спільнота кібербезпеки зіткнулася з безпрецедентною проблемою: масовим напливом неправдивих звітів про вразливості, згенерованих системами штучного інтелекту. Ця ситуація, за словами Даніеля Стенберга, засновника проєкту Curl, фактично перетворилася на розподілену атаку на відмову в обслуговуванні (DDoS) проти процесів обробки вразливостей, суттєво ускладнюючи роботу фахівців з інформаційної безпеки.
Масштаби проблеми та її вплив на галузь
Згідно з даними платформи HackerOne, протягом останніх трьох місяців було зареєстровано понад 20 повідомлень про потенційні вразливості лише в проєкті Curl. Жодне з цих повідомлень не підтвердилося та не призвело до виплати винагороди. Особливе занепокоєння викликає постійне зростання кількості згенерованих ШІ звітів, які не містять достовірної інформації про реальні загрози безпеці.
Посилення вимог до звітування про вразливості
Для протидії цій тенденції команда Curl запровадила нові правила: тепер кожен звіт має обов’язково містити інформацію про використання ШІ при його створенні. За надання неправдивих даних, згенерованих штучним інтелектом, передбачено негайне блокування акаунту. Важливо зазначити, що програма bug bounty проєкту пропонує винагороду до $9200 за критичні вразливості, причому з 2019 року було виплачено $86000 за підтверджені знахідки.
Вплив на процеси розробки та безпеки
Проблема зачіпає не лише початківців, але й досвідчених дослідників безпеки. Показовим став випадок, коли респектабельний фахівець подав згенерований ШІ звіт про неіснуючі вразливості в стеку HTTP/3. Такі інциденти не тільки підривають довіру до системи звітування, але й створюють надмірне навантаження на команди розробників.
Системні виклики для Open Source проєктів
Сет Ларсон, розробник Python, підкреслює серйозність ситуації, зазначаючи, що перевірка помилкових звітів виснажує ресурси команд та може призвести до професійного вигорання фахівців. Низькоякісні ШІ-генеровані звіти фактично стають формою ненавмисної атаки на інфраструктуру безпеки відкритого програмного забезпечення.
Для вирішення цієї проблеми необхідно розробити комплексний підхід, що включатиме автоматизовані системи попередньої перевірки звітів, вдосконалені механізми верифікації та чіткі критерії оцінки достовірності повідомлень про вразливості. Це дозволить ефективніше фільтрувати фальшиві звіти та зосередити ресурси на реальних загрозах безпеці.
