脆弱性の発見はかつてほど儲からなくなった。少なくとも1人のバグハンターは、数か月前にHackerOneのInternet Bug Bounty(IBB)プログラムを通じてオープンソースのセキュリティ脆弱性を報告し、ようやく仕事の対価を受け取ったが、報奨金は大幅に削減されていた。
このセキュリティ研究者は、以前は$1,843の報奨金だった中程度の脆弱性を発見した。月曜日時点で、HackerOneのIBBは同じ重大度レベルで$297を支払っている。
同様に、重大な脆弱性に対する新しいIBBの現金報奨金は$2,257で、以前の$9,250と比較して減少している。高い重大度のバグは現在$1,009で取引されている一方、以前は$4,429の報奨金を得ていた。低い重大度のバグは研究者に$68をもたらす一方、以前の報奨金は$597だった。
HackerOneのIBBは現在休止中であり、新しい提出を受け付けていない。「IBBプログラムは現在、研究者、スポンサー、およびオープンソースエコシステムに価値を最大化するプログラム調整を評価している間、一時停止しています」とスポークスパーソンは述べた。「倫理的なセキュリティ研究を通じてオープンソースセキュリティの強化に取り組み続けています。」
AI生成レポートが一時停止と報奨金削減に役割を果たしたかどうかについて尋ねられたが、スポークスパーソンは直接的な答えを与えなかった。
「Internet Bug Bountyはユニークで動的なプログラムであり、バウンティレベルは活動的に参加するスポンサーからの貢献に基づいて自動的に調整されます」とHackerOneのスポークスパーソンは述べた。「このプログラムの支払いはIBBプログラムの説明に記載されているとおり、定期的に調整されます。」
2人のハッカーの話
1月に遡ると、The RegisterはハッカーのJakub Ciolekと対談し、彼は昨年秋にHackerOneのIBBプログラムを通じて、人気のKubernetesコントローラーであるArgo CDの2つのサービス拒否バグを報告したと語った。
両方ともCVEが割り当てられ、修正された。Ciolekは2つの脆弱性で約$8,500を受け取ることを期待していたが、代わりにHackerOneは数か月間彼を放置し、The Registerがバグ報奨金プラットフォームに連絡した後、ようやくメールを送った。
HackerOneは彼の忍耐に感謝し、彼のバグ報告は「一時的な業務バックログによる報奨金処理待ちの状態である」と述べた。
その後、同様の状況にある別の研究者から連絡があった。「それでもいつかは何らかの報奨金を得ることを望んでいます」とバグハンターはThe Regに語り、HackerOneがバックログを整理するために3月末の期限を設定していることを指摘した。
水曜日、このハッカーはHackerOneからようやく報奨金の発表と支払いを受け取ったと述べたが、$297での支払いは報告提出後に支払い額が変更されたため、予想より少なかった。「ようやく何かもらえて良かった」と彼は述べた。
Ciolekはまだ HackerOneからの連絡を待っていると述べ、これが金銭問題ではないことを繰り返し述べた。「減額された支払いは症状です」と彼は述べた。「脆弱性報告の経済学は非常に急速に変わっています。」
数か月前までは、プロジェクトメンテナーもバグハンター自身も、Ciolekを含めて、これをAI-slopの問題として却下していた。
しかし最近、モデルがコードとエクスプロイトの作成において指数関数的に改善するにつれ、オープンソースプロジェクトはバグ報告のペースに追いつくことができなくなっている一方、依然として人間による評価が必要である。
「ここ数か月、curlプロジェクトではAI-slopセキュリティレポートが送信されなくなりました」とcurlの創設者兼主要開発者であるDaniel Stenbergは社交メディアの投稿で有名に述べた。「なくなった。代わりに、AIの助けを借りてほぼすべてが作成された非常に優れたセキュリティレポートの量がますます増えています。」
今日、もっともらしいバグを見つけることははるかに安くなり、レポートの生成は簡単にスケーリング可能になった。高い部分は依然として非常に人的である。誰かが影響を検証し、重複レポートを削除し、何かが本当にセキュリティ境界を越えるかどうかを判断し、開示を調整し、安全な修正を出荷する必要がある。
LinuxカーネルメンテナーのGreg Kroah-HartmanもThe RegisterとのインタビューでAI支援のバグレポートがslopが少なく、有効な懸念事項がより多く含まれていることについて指摘した。日曜日に、LinuxカーネルボスのLinus Torvaldsは、複数の研究者がAIを使用してバグを見つけ、その後リストに重複レポートを入力することにより、プロジェクトのセキュリティメーリングリストが「ほぼ完全に管理不能になった」と宣言した。
「最近のLinuxセキュリティメーリングリストの状況は明確なシグナルです。AI支援のレポートは重要なほどにリアルになっていますが、検証と修正が必要な人々を圧倒するほど多くの報告があります」とCiolekは述べた。
「バグ報奨金は希少なものに報酬を与えることになっていました」と彼は続けた。「それはかつて発見でした。今日、もっともらしいバグを見つけることははるかに安くなり、レポートの生成は簡単にスケーリング可能になった。高い部分は依然として非常に人的である。誰かが影響を検証し、重複レポートを削除し、何かが本当にセキュリティ境界を越えるかどうかを判断し、開示を調整し、安全な修正を出荷する必要があります。」
Ciolekは経済の変化に同情的であり、過労で低賃金のオープンソースプロジェクトメンテナーのあらゆる真剣に見えるセキュリティレポートを調査する能力に同情していると述べているが、研究者とバグ報奨金プログラム間の信頼問題は残っている。
「ここでの信頼問題は、変更が仕事が既に完了し、修正され、異なる期待の下で公開クレジットされた後に長く効果的に適用されたことです」とCiolekは述べた。「責任あるディスクロージャーは、研究者がプロセスが予測可能であることを信じることに依存しています。仕事が完了した後、ルールが変更されるべきではありません。真摯な研究者はそれをリスクとして価格設定するか、参加を停止します。」
Ciolekはもはやバグ報奨金研究を積極的に行っていないと述べているが、見つけたら深刻な問題を報告するつもりである。
「現在の調査結果の洪水では、問題が深刻であると確信していない限り、より多くのボリュームを追加したくありません」とCiolekは述べた。「このAI支援の時代では、価値のある仕事はもはや『別のバグを見つけました』だけではありません。『これが重要であることを確認し、修正を助けました』です。私は元々の発見第一主義のバグ報奨金モデルが時代遅れになりつつあると思います。次のモデルは、発見だけでなく、修復サイクルのより多くに報酬を与える必要があります。」 ®
