A bug bounty világa eddig arról szólt, hogy a cégek fizetnek a jó szemű kutatóknak a valódi sebezhetőségekért. Most viszont sok programot nem a hackerek tudása, hanem a beküldött „AI-szemét” mennyisége tesz próbára.

Mi történt

A bug bounty programokat működtető vállalatok és platformok hirtelen megugró számú, alacsony minőségű hibajelentéssel szembesülnek, amelyek nagy része végül hamis riasztásnak bizonyul. A jelenség egyik látványos példája, hogy a Bugcrowd egy márciusi háromhetes időszakban több mint négyszeresére növekvő bejelentésszámot tapasztalt, miközben a többség nem vezetett valós sérülékenységhez.

A terhelés nem csak adminisztratív kellemetlenség: a curl (az internetes adatátvitel egyik alapvető, széles körben használt eszköze) januárban felfüggesztette a fizetett bug bounty programját, kifejezetten az „AI slop reportok” robbanásszerű növekedésére és a romló minőségre hivatkozva.

Miért fontos

A bug bounty a gyakorlatban egy piac: a cégek pénzt adnak a ritka, értékes felfedezésekért, cserébe gyorsabban javíthatják a hibákat, mintha mindent csak belső csapattal keresnének. Generatív AI-val (gondolj rá úgy, mint egy szöveg- és kódrészletgyártó „asszisztensre”) sokkal könnyebb lett hibajelentésnek kinéző anyagokat előállítani, sőt automatizálni is a beküldést. Ez két irányba húz egyszerre: a tapasztalt kutatók gyorsabban juthatnak el valódi nyomokhoz, de közben lejjebb kerül a belépési küszöb, és elárasztja a rendszert a zaj.

A gond ott kezdődik, hogy minden bejelentést triázsolni kell: valakinek el kell olvasnia, reprodukálnia kell a hibát, ellenőrizni a hatást, majd dönteni a jutalomról. Ha a beküldések nagy része téves, akkor a program költsége nem a kifizetésekben, hanem az időben és a szakértői kapacitásban robban. Ross McKerchar (Sophos) értékelése szerint ez gyorsan „nagy problémává” válik, és a bug bounty-k maradnak, csak alkalmazkodniuk kell.

Mire figyelj

  1. Szigorodó belépési és minőségi kapuk: várhatóan több program kér majd részletesebb reprodukciós lépéseket, bizonyítékot (például konkrét logokat, PoC-t), és jobban szűri a „csak gyanúsnak tűnik” típusú jelentéseket.
  2. Automatikus előszűrés és reputáció: a platformok valószínűleg erősebben támaszkodnak majd automatikus duplikáció- és zajszűrésre, illetve a beküldők múltbeli találati arányára (mint egy kreditrendszer a megbízhatósághoz).
  3. A jutalmazás és a scope újragondolása: ha a triázs költsége nő, a cégek szűkíthetik, mire fogadnak be jelentést, vagy jobban differenciálhatják, mi számít „érdemi” sebezhetőségnek.

A bug bounty-k eddig is a bizalom és az ösztönzők finom egyensúlyán álltak; az AI most nem a hibakeresést szünteti meg, hanem a zaj kezelését teszi a rendszer kritikus pontjává.