🪲 Конец bug bounty?
Для состоявшегося ИТ-продукта вершиной проверки его защищенности считается участие в программах bug bounty (награда за поиск уязвимостей и ошибок). Обычно только уверенные в себе вендоры 😎 позволяют официально ломать свои ИТ-продукты, так как большое количество репортов может привести к серьезному репутационному ущербу 📉. Можно сказать, что в РФ такие программы только начали активно развиваться, но уже сама идея под угрозой.
Искусственный интеллект 🧠 (ИИ), который отлично справляется с рутинными задачами, начали массово использовать при поиске уязвимостей в программах bug bounty и написании отчетов.
Появилась даже первая громкая ласточка: «Curl объявил о закрытии программы bug bounty. Причиной стал неконтролируемый поток низкокачественных отчетов об уязвимостях, более 20% часть которых сгенерирована с помощью ИИ». У разработчиков уходило слишком много времени на обработку низкокачественных отчетов по не подтверждающимся уязвимостям (менее 5% подтверждений).
С одной стороны, низкокачественный ИИ-слоп 🎑, а с другой, ожидаемо, вендоры будут тестировать свои продукты с помощью ИИ самостоятельно, что существенно снизит количество простых уязвимостей и участников самих программ bug bounty. Вряд ли программы bug bounty совсем умрут, но трансформируются точно.
💬ИИ активно сносит целые направления деятельности людей в интернет. Посмотрим, что будет дальше. Очень интересно 🍿.
