Internet Bug Bounty program pauzira isplate zbog naleta AI prijava
Internet Bug Bounty program privremeno zaustavlja isplate za nove prijave ranjivosti u open-source softveru dok razmatra kako da prilagodi model rada novim uslovima. HackerOne, koji vodi program, navodi da je AI-assisted istraživanje značajno povećalo broj i brzinu otkrivanja propusta, dok kapacitet za proveru i sanaciju ne raste istim tempom. Među pogođenima je i Node.js, koji će nastaviti da prima i razvrstava prijave, ali bez finansijske podrške programa više neće isplaćivati nagrade.
Ovde nije problem samo više prijava, nego poremećen odnos između pronalaženja propusta i sposobnosti da se oni stvarno obrade i isprave. Ako AI nastavi da ubrzava otkrivanje brže nego što open-source projekti mogu da odgovore, bug bounty modeli će morati da se menjaju, jer sama količina nalaza više ne znači automatski i veću bezbednost.
- Pratiti kako se menjaju pravila bounty programa za open-source projekte koje koristite
- Ne oslanjati se samo na veći broj prijavljenih propusta kao pokazatelj bolje bezbednosti
- Ulagati i u kapacitete za proveru, prioritetizaciju i sanaciju ranjivosti
- Proveriti da li ključni open-source projekti u vašem okruženju i dalje imaju održiv model prijema i obrade prijava
- Razdvojiti korisne AI-assisted nalaze od šuma koji opterećuje maintainere i sigurnosne timove