Salta al contenuto
Accedi Iscriviti
Intelligenza Artificiale

L'IA sta intasando i programmi di bug bounty

I bug bounty sono cresciuti del 150% negli ultimi tre anni.

 and  Amir Ati
3 minuti

In breve:

Il settore della sicurezza informatica sta affrontando un crescente problema di segnalazioni di vulnerabilità false, generate da IA, che intasano i programmi di bug bounty, cioè quel sistema che premia con denaro gli utenti che segnalano bug alle piattaforme. Queste segnalazioni, seppur tecnicamente plausibili, sono in realtà inesistenti ma richiedono alle aziende molto tempo per valutarle.

Riassunto completo:

  • Il fenomeno dell'"AI slop" (contenuti di bassa qualità generati da modelli di linguaggio di grandi dimensioni, come immagini, video e testi) si è diffuso su internet, invadendo siti web, piattaforme social, giornali e persino eventi dal vivo.
  • Ora, il problema ha raggiunto il mondo della cybersecurity, in particolare i programmi di bug bounty.
  • Gli esperti del settore hanno sollevato preoccupazioni per le segnalazioni di bug "AI slop", ovvero report che affermano di aver trovato vulnerabilità inesistenti, create dall'Intelligenza artificiale che ha semplicemente inventato i dettagli tecnici, confezionandoli in un formato professionale.
  • Vlad Ionescu, co-fondatore e CTO di RunSybil, ha spiegato che le aziende ricevono segnalazioni che sembrano ragionevoli e tecnicamente corrette, ma che alla fine si rivelano solo "allucinazioni" generate dall'Intelligenza artificiale.
  • Questo accade perché gli LLM sono progettati per essere utili e fornire risposte positive; se richiesti di generare un report, lo fanno, anche se è falso, portando a un sovraccarico delle piattaforme e dei clienti.
  • Ci sono stati esempi concreti: Harry Sintonen, un ricercatore di sicurezza, ha rivelato che il progetto open source Curl ha ricevuto un report falso, che è stato prontamente identificato.
  • Benjamin Piouffle di Open Collective ha confermato di avere lo stesso problema, con la loro casella di posta "inondata di spazzatura" generata dall'Intelligenza artificiale.
  • Un sviluppatore del progetto open source CycloneDX su GitHub ha disattivato completamente il suo programma di bug bounty all'inizio dell'anno, dopo aver ricevuto "quasi esclusivamente segnalazioni di AI slop".
  • Anche le principali piattaforme di bug bounty stanno registrando un'impennata di segnalazioni generate dall'Intelligenza artificiale.
  • Michiel Prins di HackerOne ha riportato un **aumento dei "falsi positivi"**, ovvero vulnerabilità che sembrano reali ma sono create dagli LLM e prive di impatto reale, generando "rumore" che mina l'efficienza dei programmi di sicurezza.
  • Casey Ellis, fondatore di Bugcrowd, ha dichiarato che l'Intelligenza artificiale è ampiamente utilizzata nella maggior parte delle segnalazioni e che stanno registrando un aumento complessivo di 500 sottomissioni a settimana, anche se al momento questo non ha ancora causato un aumento significativo di segnalazioni di bassa qualità.
  • Bugcrowd impiega sia revisioni manuali che assistenza da machine learning e Intelligenza artificiale per analizzare le segnalazioni.
  • Interpellate da TechCrunch, Google non ha risposto, mentre Microsoft e Meta hanno rifiutato di commentare.
  • Mozilla, sviluppatore del browser Firefox, tramite Damiano DeMonte, ha affermato di non aver riscontrato un aumento sostanziale di segnalazioni di bug invalide o di bassa qualità generate dall'Intelligenza artificiale. La percentuale di rifiuto è rimasta stabile al 5-6% al mese, ovvero meno del 10% di tutte le segnalazioni mensili. Mozilla non utilizza l'Intelligenza artificiale per filtrare i report, per non rischiare di scartare segnalazioni legittime.
  • Vlad Ionescu prevede che una soluzione al problema dell'aumento dell'AI slop sarà l'investimento in sistemi basati sull'Intelligenza artificiale in grado di effettuare una revisione preliminare e filtrare le segnalazioni per accuratezza.
  • In risposta, HackerOne ha **lanciato Hai Triage**, un nuovo sistema di smistamento che combina intervento umano e Intelligenza artificiale per filtrare il rumore, identificare i duplicati e dare priorità alle minacce reali, con gli analisti umani che convalidano i report.
  • Resta da vedere quale delle due Intelligente artificiali (quella usata dagli hacker o quella per lo smistamento delle aziende) prevarrà.

Questo testo è un riassunto del seguente articolo (eng):

AI slop and fake reports are coming for your bug bounty programs | TechCrunch
“We’re getting a lot of stuff that looks like gold, but it’s actually just crap,” said the founder of one security testing firm. AI-generated security vulnerability reports are already having an effect on bug hunting, for better and worse.
TechCrunchLorenzo Franceschi-Bicchierai

Alternativa in italiano: non pervenuta

Commenti

Correlati

Più recenti