出典:Hlib Shabashnyi/Shutterstock
HackerOneがクラウドソーシング型のInternet Bug Bounty(IBB)プログラムへの新しい脆弱性報告を一時停止するという最近の決定は、AIを活用したバグハンティングと発見の急速な進展によって駆動される業界全体における修復の課題の増加を浮き彫りにしました。
2013年に開始されたIBBは、オープンソースコミュニティの最も重要な脆弱性報奨プログラムの1つとして広く認識されています。3月27日より、このプログラムは新しい脆弱性報告の受け入れを一時停止しました。これはHackerOneが脆弱性の発見とオープンソース保守者がそれらを修復する能力との間の不均衡の悪化と説明した理由によるものです。
‘シグナルとノイズ’
「発見の展望は変わっています。AIを支援する研究は、生態系全体の脆弱性発見を拡大し、カバレッジと速度の両方を増加させています」とHackerOneが発表しました。「オープンソースにおける発見と修復能力の間のバランスは実質的に変化し」、クラウドソーシング型プログラム(IBBなど)の構造とインセンティブの見直しが必要だと述べました。
HackerOneの決定に続いて、オープンソースのNode.jsプロジェクトの保守者は、独自のバグバウンティプログラムを一時停止しました。かつてHackerOneを通じて利用可能だった資金の喪失を理由としています。「ボランティア主導のオープンソースプロジェクトであるNode.jsには、独立して報奨プログラムを維持するための独自の予算がありません」と保守者は説明しました。
複数のセキュリティ専門家は、AIを活用した脆弱性発見の急速な成長を考えると、これらの発表を重大ではあるが予期されていた出来事として受け止めています。
「これはAI圧力下でバグバウンティエコシステムがどのように機能するかの合理的で、さらに遅すぎるほどの修正です」とSOCRadarの最高情報セキュリティ責任者(CISO)Ensar Sekerは言います。「HackerOneは本質的に、ボトルネックがシフトしたことを認識しています。AIは発見を工業化しましたが、修復能力はそれに応じてスケールしていません」と彼は述べています。AIが数時間で数千の低から中程度の品質の発見を生成できるとき、多くの場合資金が限定されたボランティアであるオープンソースプロジェクトの保守者は簡単に圧倒されてしまいます。「つまり、[HackerOne]がセキュリティからの後退ではなく、シグナルとノイズのバランスを取り直す試みであると言うことは完全に正しいのです。」
AI生成のゴミ
Minimusの共同創立者でCTOのJohn Morelloは、AIによって生成された「ゴミ」が門を氾濫させるにつれて、有効な報告は約15%から5%未満に減少したと言います。「AIを支援するハンティングは必ずしもより多くの重大なゼロデイを発見したわけではありません。代わりに、ボトルネックを完全に検証にシフトさせ、トリアージチームに数千の実現可能に聞こえるが悪用不可能なレポートをふるい分けることを強いています」と彼は言います。
オープンソースプロジェクト保守者にとって、「トリアージ疲労」は最大の課題となっており、単に幻覚された脆弱性を反証するために開発時間の数時間を失っています。「現在の報奨モデルは残念ながら数量を深さより優先し、効果的に無給労働を武器化し、これらの小さなチームに惑星上のあらゆる自動スキャナーの無料[品質保証]部門として機能することを強いています」とMorelloは言います。
HackerOneは、その焦点は現在、脆弱性発見と効果的な修復を「意味のある発見がオープンソースプロジェクトの耐久性のあるセキュリティ改善につながるように」整合させるための新しい方法を見つけることにあると述べました。その目的のために、HackerOneはプロジェクト保守者と研究者と協力して、オープンソースエコシステムの現実とインセンティブをより適切に整合させるアプローチを評価します。
クラウドソーシング型脆弱性発見プラットフォームも運営するBugcrowdの最高戦略・信頼責任者Trey Fordは、HackerOneの決定を警鐘と感じています。「これが一時停止が実際に示唆しているものについて明確にしましょう。業界はパイプラインの間違った側を最適化するために何年も費やしました」と彼は言います。AIは脆弱性を発見するのに必要な時間を圧縮する点で、正確にそれが行うべきことを行いました。「私たちがまだ解決していないのは方程式の人間側です。40の有効なレポートを受け取り、対応するために1つの週末を持つ保守者です」とFordは言います。
発見は資金提供されている、修復はされていない
現在必要なのは、発見と同じ緊急性を持って修復能力への大きな投資です。「研究と開示の経済学は変化しています。AIは発見の障壁を低くします。つまり、生の量はもはや研究者にとって競争上の利点ではありません」とFordは指摘しています。プレミアムはますます複雑なロジックの欠陥と、機械が複製できない人間の深さと文脈的判断を必要とする新しい攻撃チェーンに移動するでしょう。「次世代の脆弱性プログラムは、単に脆弱性を報告するのではなく修正をもたらすことで研究者にボーナスを提供し、発見する研究者とパッチを出す保守者チームの両方に資金を供給する共有プールを作成するかもしれません。」
修復は唯一の課題ではありません。FusionAuthの製品VP David Hayesが指摘するように、人間のペースの研究を中心に設計されたバグバウンティプログラムは、誰もが予想していたよりも速く資金を使い果たしています。「現在構成されているモデルは持続不可能です」と彼は言います。報奨は発見がボトルネックである世界のために設計されていました。発見がますます自動化されるようになったので、ボトルネックは修復であり、報奨は資金提供していません。「重要なインターネットインフラストラクチャの基礎となるプロジェクトは、AI生成レポートをスケールで処理するためのボランティア労働に依存することはできません」と彼は言います。「業界は発見ではなく修復に資金を供給する方法を理解する必要があります。」
