クラウドコードリポジトリは、セキュリティ研究者に対し、AI生成ノイズを排除し、ユーザーの責任ではなく自社の責任であるセキュリティ問題の報告に焦点を当てるよう求めている。
バグバウンティプログラムへの申請数の急増に直面して、GitHubは低いセキュリティインパクトのレポートについて現金報酬をノベルティグッズ報酬に置き換えており、低品質のレポートまたは自社の責任ではないものについてのレポートの提出をやめるよう研究者に求めている。
クラウドベースのコードリポジトリプラットフォームは、ジェネレーティブAIなどの新しいツールのために、過去1年間で実際のセキュリティインパクトを示さない申請が急増している。
「すべての有効な申請が意味のあるセキュリティリスクを表すわけではない。一部のレポートは強化の機会またはドキュメンテーションギャップを特定している。」GitHubのシニアセキュリティ研究者であるJarom Brownはブログ投稿で書いた。
その上、彼は言った。GitHubが受け取るレポートの多くは、GitHubで悪意のあるコンテンツと相互作用した後に誰かが「望ましくない」結果を経験する範囲外のシナリオについて説明しており、このような案件が増加しているという。
「これらのレポートはしばしばよく書かれており、その観察において技術的に正確であるが、セキュリティ境界がどこにあるかを誤解している。「攻撃」が被害者に悪意のあるリポジトリをクローンする、AIツールに信頼できないコードを分析するよう求める、または作成されたファイルを開くなど、攻撃者が制御するコンテンツを積極的に探し出して相互作用することを要求する場合、セキュリティ境界はそのコンテンツを信頼するというユーザーの決定である。これらのシナリオは一般的にGitHubのセキュリティコントロールのバイパスを表していない。」と彼は書いた。
Brownの説明は、GitHubユーザーが自分を守るために会社が何を期待しているかについてのリマインダーとしても機能する。
人工知能がバグレポートの洪水を膨らませたが、GitHubはセキュリティ研究者がそれを使用することをやめることを望んでいない。「研究者がAIツールを使用することに問題はない。AIは力の増幅器であり、セキュリティ研究において役割を増やすことを期待している。我々は自社の内部セキュリティプログラム全体でAIを使用しており、最高の外部研究者も同じことをしているのを見ている。我々はそれを歓迎する。」Brownは書いた。
しかし、すべてのAI生成申請は、最初に人間によってレビューおよび検証される必要がある。これはバグハンティングを支援するためにあらゆるツールの使用に適用されてきたルールだ。
このように、GitHubは概念実証なしのレポート、精査に耐えない理論的攻撃シナリオ、および報酬に不適格として公開されたリストに含まれるその他のものをスクリーンアウトすることを望んでいる。
AI生成ノイズは業界の問題である
GitHubは提出物の量に苦労している唯一のバグバウンティプロバイダーではない。ただし、すべてがAIを同じように歓迎しているわけではない。
セキュリティベンダー、オープンソースメンテナー、および業界全体のバグバウンティプラットフォームは、アナリストらが警告したように、アナリストの時間を消費し、インシデント対応を遅くし、自動化されたノイズの増加する中で正当な脅威を特定することをより難しくする低品質のAI支援脆弱性レポートの洪水について、ますます苦情を述べている。
オープンソースプロジェクトのCurlはAIスロップのためにバグバウンティを廃止し、HackerOneはAI申請に追いつけなかったため、インターネットバグバウンティプログラムからのペイアウトを一時停止した。Googleオープンソースソフトウェア脆弱性報酬プログラムもペイアウトを制限している。
そしてLinuxクリエイターのLinus Torvaldsは最近、AI生成脆弱性レポートの「継続的な洪水」が、同じAIツールを使用して同じバグを見つける研究者からの大規模な重複のために、Linuxカーネルセキュリティメーリングリストを「ほぼ完全に管理不可能」にしたと警告した。
セキュリティ才能パイプラインを切断する
Pareekh Jain(Pareekh Consultingの主任アナリスト)は、GitHubが現金支払いからノベルティグッズへの切り替えが、より小さな発見からの報酬に依存して信頼性を構築し、スキルを磨き、経済的に仕事を継続する新しい独立した研究者からの参加を減らすことができると述べた。
エコシステムの下位の参加の低下が、より少ない新人がバグバウンティハンティングをセキュリティコミュニティ内で学び、貢献し、成長するための実行可能なパスと見なす場合、サイバーセキュリティ才能パイプラインに長期的な結果をもたらす可能性があるとAkshat Tyagi(HFS Researchの副実践リーダー)は述べた。
ただし、別の観点から、Tyagiは、この動きが経験豊富な研究者にとって肯定的である可能性があると指摘した。「キューノイズが少なくなると、トリアージが速くなり、支払いが速くなり、プログラムの信頼性が高くなります。」
開かれたドア、しかし誰のためでもない
Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは、GitHubなどのプラットフォームがAI洪水に対応するために、貢献ワークフローにより明示的な信頼制御を導入することを期待している。
「一部は見える:許可、レート制限、テンプレート、身元確認、評判スコアリング。その他は見えにくい:ランキングシステム、自動化された事前トリアージ、AI起源シグナル、行動スコアリング、および既知の良好な貢献者の静かな優先順位付け。」と彼は述べた。
またJainは、GitHubが最近導入されたStacked PRsコードレビューツールをバグバウンティプログラムに適用することができると提案した。「積み重ねられたPRが開発者により小さく、より構造化されたチャンクでAI生成コードをレビューするのを助けるのと同じように、バグバウンティプラットフォームは自動検証、再現可能な悪用ステップ、重複排除、およびAI支援トリアージを備えた、より構造化された脆弱性申請を導入するかもしれません。」と彼は述べた。「セキュリティレポートは長いテキストベースのレポートの代わりに、CI/CDワークフローのように見え始めることができます。」
