“Los problemas del país son muy graves y muy reales, pero los actores criminales siguen siendo la causa de la mayoría de los incidentes manejados por la organización y la mayoría de esos incidentes son bastante graves”, añadió Hultquist. “El uso de días cero por parte de los delincuentes sigue siendo muy limitado, y quienes los utilizan tienden a tener mucho éxito, por lo que no creo que debamos subestimar el impacto de los muchos delincuentes que tienen días cero en sus manos”.
Sin embargo, para los investigadores que ganan dinero cazando insectos, los tiempos están cambiando. La herramienta de línea de comando Curl finalizó su programa de recompensas por errores (ejecutado a través del servicio de terceros HackerOne) en enero después de verse inundado con envíos de baja calidad generados por IA.
“Hemos llegado a la conclusión de que las recompensas por errores proporcionan un incentivo demasiado fuerte para que las personas encuentren e inventen ‘problemas’ de mala fe que conduzcan a sobrecargas y abusos”, dijo el grupo. escribir en ese momento, y agregó que “todavía valoramos y respetamos los informes de vulnerabilidad válidos”.
La semana pasada, el creador y desarrollador líder de Linux, Linus Torvalds escribir que la famosa lista de correo de seguridad de Linux se ha vuelto “casi completamente inmanejable” debido al gran volumen y la duplicación de informes de errores de IA.
Pero en abril, Daniel Stenberg, fundador y desarrollador principal de Curl, dijo en LinkedIn correo que la calidad de los resultados ha mejorado. “En los últimos meses, dejamos de recibir informes de seguridad de la IA en el proyecto curl”, escribió. “En cambio, recibimos cada vez más informes de seguridad excelentes, casi todos elaborados con la ayuda de IA. Se entregan con una frecuencia nunca antes vista y nos están ejerciendo una gran presión”.
Y a finales de abril, Google anunciado que están revisando el Programa de Recompensas por Vulnerabilidad para Chrome y Android y reduciendo los pagos por algunos tipos de errores, mientras aumentan otros.
“A medida que evoluciona el panorama de la investigación de seguridad con IA, estamos realizando cambios en nuestro programa para asegurarnos de recompensar las vulnerabilidades más desafiantes e impactantes de nuestros productos”, escribió la compañía.
“Creo que un cazador de insectos del percentil 90 con habilidades especializadas siempre podrá encontrar y recibir un pago de una gran empresa”, dijo Jonathan Dunn, cardiólogo que también es cazarrecompensas de insectos. “Pero incluso con la IA, también necesitamos ofrecer grandes incentivos para que los investigadores éticos descubran cosas sobre la infraestructura pública y otros sistemas críticos que tal vez no reciban suficiente atención por parte de los defensores de los derechos humanos”.
Por ahora, la mayoría de las organizaciones parecen preparadas para encontrar todas las soluciones que se les ocurran para abordar el problema (y los beneficios) del descubrimiento acelerado de errores. “Esto cambia la dinámica de la industria de la búsqueda de errores, pero aún requiere tiempo humano”, dijo Alex Zenla, director de tecnología de la empresa de seguridad en la nube Edera.
A principios de este mes, Anthropic lanzó un Recompensa por errores de HackerOne para que los investigadores envíen sus hallazgos a los sistemas patentados de la compañía y a los modelos Claude AI. Sin embargo, algunos investigadores sostienen cada vez más que las defensas estructurales son necesarias para abordar el descubrimiento acelerado de vulnerabilidades. En otras palabras, diseñan soluciones digitales para diversos tipos de vulnerabilidades que pueden eliminarlas o hacerlas menos explotables en la práctica.
“No se puede encontrar una solución a este problema”, afirma Niels Provos, ingeniero e investigador de seguridad desde hace mucho tiempo. “Es necesario construir una infraestructura que haga irrelevantes tantos errores como sea posible”.
