Столкнувшись с ростом числа заявок в bug bounty, GitHub заменяет денежные вознаграждения на сувениры за отчеты с низким влиянием на безопасность и просит прекратить подачу некачественных отчетов. Платформа отмечает наплыв заявок из-за генеративного ИИ. — csoonline.com
Столкнувшись с растущим объемом заявок в свою программу вознаграждений за обнаружение уязвимостей (bug bounty), GitHub заменяет денежные вознаграждения на призы в виде сувенирной продукции за отчеты с низким уровнем влияния на безопасность и просит исследователей прекратить присылать некачественные отчеты или сообщения о проблемах, не связанных с ошибками платформы.
Облачная платформа для хранения репозиториев кода за последний год отметила резкий рост числа заявок, которые не демонстрируют реального влияния на безопасность, что связано с появлением новых инструментов, таких как генеративный ИИ.
«Не каждая подтвержденная заявка представляет собой значительный риск для безопасности. Некоторые отчеты выявляют возможности для усиления защиты или пробелы в документации», — написал Джаром Браун, старший исследователь безопасности в GitHub, в записи в блоге.
Кроме того, по его словам, многие отчеты, которые получает GitHub, описывают сценарии, выходящие за рамки допустимого, когда кто-то сталкивается с «нежелательным» результатом после взаимодействия с вредоносным контентом на GitHub.
«Эти отчеты часто хорошо написаны и технически точны в своих наблюдениях, но они неверно понимают, где проходит граница безопасности. Когда для «атаки» жертва должна активно искать и взаимодействовать с контентом, контролируемым злоумышленником (клонирование вредоносного репозитория, запрос у инструмента ИИ на анализ недоверенного кода, открытие специально созданного файла), граница безопасности определяется решением пользователя доверять этому контенту. Такие сценарии, как правило, не представляют собой обход мер контроля безопасности GitHub», — написал он.
Объяснение Брауна также служит напоминанием пользователям GitHub о том, что компания ожидает от них для самозащиты.
Хотя искусственный интеллект и вызвал наводнение отчетами об ошибках, GitHub не хочет, чтобы исследователи безопасности прекращали его использовать. «Мы не имеем ничего против использования исследователями инструментов ИИ. ИИ является множителем силы, и мы ожидаем, что он будет играть все более важную роль в исследованиях безопасности. Мы используем ИИ в наших собственных внутренних программах безопасности и видим, что лучшие внешние исследователи делают то же самое. Мы приветствуем это», — написал Браун.
Но все заявки, сгенерированные ИИ, должны быть сначала проверены и подтверждены человеком — это правило распространяется на использование любого инструмента для помощи в поиске ошибок.
Таким образом, GitHub надеется отсеять отчеты без доказательства концепции (proof of concept), теоретические сценарии атак, которые не выдерживают проверки, и другие, подпадающие под опубликованный список того, что не подлежит вознаграждению.
Шум, сгенерированный ИИ, — это отраслевая проблема
GitHub — не единственный поставщик услуг bug bounty, борющийся с объемом заявок, хотя не все так радушно принимают ИИ.
Аналитики предупреждают, что поставщики услуг безопасности, сопровождающие проекты с открытым исходным кодом и платформы bug bounty по всей отрасли все чаще жалуются на наплыв низкокачественных отчетов об уязвимостях, созданных с помощью ИИ, которые отнимают время аналитиков, замедляют реагирование на инциденты и затрудняют выявление реальных угроз на фоне растущего объема автоматизированного шума.
Проект с открытым исходным кодом Curl отменил свою программу bug bounty из-за мусора от ИИ, а HackerOne приостановила выплаты по программе Internet Bug Bounty, поскольку не могла справиться с заявками от ИИ. Программа вознаграждений за уязвимости в программном обеспечении с открытым исходным кодом от Google также ограничивает выплаты.
И создатель Linux Линус Торвальдс недавно предупредил, что «продолжающийся поток» отчетов об уязвимостях, сгенерированных ИИ, сделал список рассылки по безопасности ядра Linux «почти полностью неуправляемым» из-за массового дублирования от исследователей, использующих одни и те же инструменты ИИ для поиска идентичных ошибок.
Перекрытие канала пополнения талантов в сфере безопасности
Пареекх Джайн, ведущий аналитик Pareekh Consulting, считает, что переход GitHub от денежных выплат к сувенирам может снизить участие новых и независимых исследователей, многие из которых полагаются на вознаграждения за небольшие находки для укрепления авторитета, оттачивания навыков и финансовой поддержки своей работы.
Акшат Тьяги, руководитель практики в HFS Research, заявил, что это снижение участия в нижней части экосистемы может иметь долгосрочные последствия для канала пополнения талантов в области кибербезопасности, если меньше новичков будут рассматривать охоту за ошибками как жизнеспособный путь для обучения, внесения вклада и роста в сообществе безопасности.
Однако, с другой стороны, Тьяги отметил, что этот шаг может быть положительным для опытных исследователей: «Меньше шума в очереди означает более быструю сортировку, более быстрые выплаты и повышение авторитета программы».
Открытая дверь, но не для всех
Санчит Вир Гогиа, ведущий аналитик Greyhound Research, ожидает, что платформы вроде GitHub отреагируют на наводнение от ИИ, внедрив более явные механизмы контроля доверия в рабочие процессы внесения изменений.
«Некоторые будут заметны: разрешения, ограничения скорости, шаблоны, проверка личности, оценка репутации. Другие будут менее заметны: системы ранжирования, автоматическая предварительная сортировка, сигналы происхождения ИИ, поведенческая оценка и тихое приоритетное обслуживание известных хороших участников», — сказал он.
И Джайн предположил, что GitHub может применить свой недавно представленный инструмент для обзора кода Stacked PRs к программе bug bounty. «Подобно тому, как Stacked PRs помогают разработчикам просматривать код, сгенерированный ИИ, в виде меньших и более структурированных фрагментов, платформы bug bounty могут внедрить более структурированные заявки об уязвимостях с автоматической проверкой, воспроизводимыми шагами эксплуатации, дедупликацией и сортировкой с помощью ИИ», — сказал он. «Отчетность по безопасности может начать больше походить на рабочий процесс CI/CD, а не на длинные текстовые отчеты».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anirban Ghoshal