- 27,441
- 46
- 8 Ноя 2022
Как ИИ переписывает ценность работы багхантера.
HackerOne резко снизила выплаты за уязвимости в открытом коде, и для багхантеров прежняя экономика поиска багов начала меняться прямо на глазах. Исследователь, который несколько месяцев назад отправил отчет через программу Internet Bug Bounty, наконец получил деньги, но сумма оказалась намного ниже прежнего уровня вознаграждений.
Речь идет об уязвимости средней степени опасности. Раньше за подобную находку в IBB платили $1 843, а с понедельника HackerOne указывает для того же уровня выплату $297 . Вознаграждение за критическую уязвимость снизилось с $9 250 до $2 257, за опасную уязвимость высокого уровня платят $1 009 вместо прежних $4 429, а баги низкой степени опасности теперь приносят $68 вместо $597.
Программа Internet Bug Bounty остается на паузе и не принимает новые отчеты. HackerOne уже останавливала прием новых заявок в IBB на фоне роста ИИ-отчетов и пересмотра модели выплат. Представитель компании заявил, что HackerOne меняет настройки программы, чтобы сохранить пользу для исследователей, спонсоров и экосистемы открытого кода.
Прямого ответа на вопрос о роли отчетов, созданных с помощью ИИ, HackerOne не дала. Компания лишь пояснила, что размер выплат в IBB зависит от взносов активных спонсоров и регулярно меняется по правилам программы.
История с задержками началась не сейчас. В январе The Register поговорил с исследователем Якубом Циолеком, который осенью отправил через IBB два отчета об уязвимостях отказа в обслуживании в Argo CD, популярном Kubernetes-контроллере. Обе проблемы получили CVE и были исправлены. Циолек рассчитывал примерно на $8 500 за две находки, но месяцами не получал ответа от HackerOne. После запроса журналистов платформа сообщила, что отчеты ждут обработки из-за временной операционной очереди.
Позже похожую ситуацию описал другой исследователь. HackerOne обещала разобраться с накопившимися заявками до конца марта, но выплата пришла только сейчас. Исследователь получил $297, хотя отправлял отчет еще до изменения таблицы вознаграждений. По его словам, главное, что платформа наконец заплатила хоть что-то.
Циолек пока не получил решения по своим отчетам. При этом исследователь подчеркивает, что проблема не сводится к конкретной сумме. По его словам, сниженные выплаты показывают, как быстро меняется экономика раскрытия уязвимостей. Раньше самым ценным считался сам факт обнаружения бага, но ИИ резко удешевил поиск правдоподобных проблем и массовую подготовку отчетов.
Для проектов с открытым кодом нагрузка сместилась в другую сторону. Поддерживающим разработчикам по-прежнему приходится вручную проверять влияние уязвимости, искать дубликаты, решать, пересекает ли баг границу безопасности, координировать раскрытие и доводить исправление до безопасного релиза. На фоне роста ИИ-инструментов для поиска багов человеческая проверка стала самым дорогим этапом процесса.
Сначала многие разработчики воспринимали проблему как поток мусорных ИИ-отчетов в багбаунти , но ситуация быстро усложнилась. Модели стали лучше писать код, искать ошибки и оформлять убедительные отчеты, а проектам с открытым кодом все сложнее разбирать растущий поток заявок вручную.
Создатель curl Даниэль Стенберг недавно отметил в публикации в LinkedIn , что поток откровенно мусорных ИИ-отчетов в проекте почти исчез. Вместо слабых сообщений разработчики начали получать все больше качественных отчетов, подготовленных при помощи ИИ. Ранее Стенберг уже рассказывал, как такие обращения резко увеличили нагрузку на проект curl .
Участник сопровождения ядра Linux Грег Кроа-Хартман также говорил, что ИИ-отчеты стали содержать меньше мусора и больше реальных поводов для проверки. Линус Торвальдс в воскресенье заявил, что рассылка по безопасности Linux стала почти неуправляемой из-за исследователей, которые используют ИИ для поиска багов и заваливают проект дубликатами.
Циолек считает ситуацию с рассылкой Linux ясным сигналом для всей индустрии. Отчеты, подготовленные при помощи ИИ, уже достаточно убедительны, чтобы требовать внимания, но поток стал слишком большим для людей, которые должны проверять, исправлять и координировать раскрытие проблем.
Отдельная претензия касается доверия между исследователями и багбаунти-платформами. Циолек указывает, что новые правила фактически применили после выполненной работы, исправления багов и публичного признания находок. Предсказуемость процесса лежит в основе ответственного раскрытия, а пересмотр условий задним числом заставит серьезных специалистов учитывать новый риск или уходить из программ.
Циолек больше не занимается багбаунти активно, но готов сообщать о серьезных проблемах. По его словам, в эпоху ИИ ценность смещается от фразы «я нашел еще один баг» к фразе «я проверил значимость проблемы и помог довести исправление до конца». Старая модель, построенная вокруг первичного обнаружения, устаревает, а следующая должна вознаграждать не только находку, но и участие в исправлении.
HackerOne резко снизила выплаты за уязвимости в открытом коде, и для багхантеров прежняя экономика поиска багов начала меняться прямо на глазах. Исследователь, который несколько месяцев назад отправил отчет через программу Internet Bug Bounty, наконец получил деньги, но сумма оказалась намного ниже прежнего уровня вознаграждений.
Речь идет об уязвимости средней степени опасности. Раньше за подобную находку в IBB платили $1 843, а с понедельника HackerOne указывает для того же уровня выплату $297 . Вознаграждение за критическую уязвимость снизилось с $9 250 до $2 257, за опасную уязвимость высокого уровня платят $1 009 вместо прежних $4 429, а баги низкой степени опасности теперь приносят $68 вместо $597.
Программа Internet Bug Bounty остается на паузе и не принимает новые отчеты. HackerOne уже останавливала прием новых заявок в IBB на фоне роста ИИ-отчетов и пересмотра модели выплат. Представитель компании заявил, что HackerOne меняет настройки программы, чтобы сохранить пользу для исследователей, спонсоров и экосистемы открытого кода.
Прямого ответа на вопрос о роли отчетов, созданных с помощью ИИ, HackerOne не дала. Компания лишь пояснила, что размер выплат в IBB зависит от взносов активных спонсоров и регулярно меняется по правилам программы.
История с задержками началась не сейчас. В январе The Register поговорил с исследователем Якубом Циолеком, который осенью отправил через IBB два отчета об уязвимостях отказа в обслуживании в Argo CD, популярном Kubernetes-контроллере. Обе проблемы получили CVE и были исправлены. Циолек рассчитывал примерно на $8 500 за две находки, но месяцами не получал ответа от HackerOne. После запроса журналистов платформа сообщила, что отчеты ждут обработки из-за временной операционной очереди.
Позже похожую ситуацию описал другой исследователь. HackerOne обещала разобраться с накопившимися заявками до конца марта, но выплата пришла только сейчас. Исследователь получил $297, хотя отправлял отчет еще до изменения таблицы вознаграждений. По его словам, главное, что платформа наконец заплатила хоть что-то.
Циолек пока не получил решения по своим отчетам. При этом исследователь подчеркивает, что проблема не сводится к конкретной сумме. По его словам, сниженные выплаты показывают, как быстро меняется экономика раскрытия уязвимостей. Раньше самым ценным считался сам факт обнаружения бага, но ИИ резко удешевил поиск правдоподобных проблем и массовую подготовку отчетов.
Для проектов с открытым кодом нагрузка сместилась в другую сторону. Поддерживающим разработчикам по-прежнему приходится вручную проверять влияние уязвимости, искать дубликаты, решать, пересекает ли баг границу безопасности, координировать раскрытие и доводить исправление до безопасного релиза. На фоне роста ИИ-инструментов для поиска багов человеческая проверка стала самым дорогим этапом процесса.
Сначала многие разработчики воспринимали проблему как поток мусорных ИИ-отчетов в багбаунти , но ситуация быстро усложнилась. Модели стали лучше писать код, искать ошибки и оформлять убедительные отчеты, а проектам с открытым кодом все сложнее разбирать растущий поток заявок вручную.
Создатель curl Даниэль Стенберг недавно отметил в публикации в LinkedIn , что поток откровенно мусорных ИИ-отчетов в проекте почти исчез. Вместо слабых сообщений разработчики начали получать все больше качественных отчетов, подготовленных при помощи ИИ. Ранее Стенберг уже рассказывал, как такие обращения резко увеличили нагрузку на проект curl .
Участник сопровождения ядра Linux Грег Кроа-Хартман также говорил, что ИИ-отчеты стали содержать меньше мусора и больше реальных поводов для проверки. Линус Торвальдс в воскресенье заявил, что рассылка по безопасности Linux стала почти неуправляемой из-за исследователей, которые используют ИИ для поиска багов и заваливают проект дубликатами.
Циолек считает ситуацию с рассылкой Linux ясным сигналом для всей индустрии. Отчеты, подготовленные при помощи ИИ, уже достаточно убедительны, чтобы требовать внимания, но поток стал слишком большим для людей, которые должны проверять, исправлять и координировать раскрытие проблем.
Отдельная претензия касается доверия между исследователями и багбаунти-платформами. Циолек указывает, что новые правила фактически применили после выполненной работы, исправления багов и публичного признания находок. Предсказуемость процесса лежит в основе ответственного раскрытия, а пересмотр условий задним числом заставит серьезных специалистов учитывать новый риск или уходить из программ.
Циолек больше не занимается багбаунти активно, но готов сообщать о серьезных проблемах. По его словам, в эпоху ИИ ценность смещается от фразы «я нашел еще один баг» к фразе «я проверил значимость проблемы и помог довести исправление до конца». Старая модель, построенная вокруг первичного обнаружения, устаревает, а следующая должна вознаграждать не только находку, но и участие в исправлении.
- Источник новости
- www.securitylab.ru
