ويضيف هولتكويست: “قضايا الدولة القومية خطيرة للغاية وحقيقية للغاية، لكن الجهات الإجرامية لا تزال تشكل الغالبية العظمى من الحوادث التي تتعامل معها المنظمات والعديد من تلك الحوادث خطيرة للغاية”. “لقد كان استخدام يوم الصفر من قبل الجهات الإجرامية محدودًا إلى حد ما، وأولئك الذين يستخدمونها يميلون إلى أن يكونوا ناجحين حقًا، لذلك أعتقد أنه لا ينبغي لنا أن نقلل من تأثير المزيد من المجرمين الذين لديهم يوم صفر في أيديهم.”
لكن بالنسبة للباحثين الذين يكسبون المال من خلال صيد الحشرات، فإن الزمن يتغير. أنهت أداة سطر الأوامر Curl برنامج مكافأة الأخطاء (الذي يتم تشغيله من خلال خدمة HackerOne التابعة لجهة خارجية) في يناير بعد أن غمرتها عمليات الإرسال منخفضة الجودة التي تم إنشاؤها بواسطة الذكاء الاصطناعي.
وكتبت المجموعة في ذلك الوقت: “لقد استنتجنا بالطريقة الصعبة أن مكافأة الخلل تمنح الأشخاص حوافز قوية جدًا للعثور على” المشكلات “واختلاقها بسوء نية تسبب زيادة في التحميل وإساءة الاستخدام”، مضيفة: “ما زلنا نقدر ونقدر تقارير الثغرات الصحيحة”.
في الأسبوع الماضي، كتب منشئ Linux والمطور الرئيسي Linus Torvalds أن القائمة البريدية الأمنية الشهيرة لنظام Linux أصبحت “غير قابلة للإدارة تمامًا تقريبًا” بسبب الحجم الكبير وتقارير أخطاء الذكاء الاصطناعي المكررة.
ومع ذلك، في أبريل، قال دانييل ستينبرج، المؤسس والمطور الرئيسي لشركة Curl، في منشور على LinkedIn إن جودة التقديمات قد تحسنت. وكتب: “على مدى الأشهر القليلة الماضية، توقفنا عن تلقي تقارير أمنية عن ثغرات الذكاء الاصطناعي في مشروع التجعيد”. “بدلاً من ذلك، نحصل على عدد متزايد من التقارير الأمنية الجيدة حقًا، ويتم كل ذلك تقريبًا بمساعدة الذكاء الاصطناعي. ويتم تقديمها بوتيرة لم يسبق لها مثيل وتضعنا تحت عبء خطير.”
وفي نهاية أبريل، أعلنت جوجل أنها تعمل على إصلاح برامج مكافأة الثغرات الأمنية لمتصفحي كروم وأندرويد وخفض المدفوعات لبعض فئات الأخطاء، مع زيادة فئات أخرى.
وكتبت الشركة: “مع تطور مشهد الأبحاث الأمنية مع الذكاء الاصطناعي، فإننا نجري تغييرات في برامجنا للتأكد من أننا نكافئ نقاط الضعف الأكثر تحديًا وتأثيرًا في منتجاتنا”.
يقول جوناثان دان، طبيب القلب الذي يعمل أيضًا صائدًا لمكافآت الأخطاء: “أعتقد أن النسبة المئوية التسعين من صائدي الأخطاء ذوي المهارات الخاصة سيكونون دائمًا قادرين على الحصول على نتائج والحصول على تعويضات من الشركات الكبرى”. “ولكن حتى مع الذكاء الاصطناعي، نحتاج أيضًا إلى تحفيز الباحثين الأخلاقيين بشكل كبير للعثور على أشياء تتعلق بالبنية التحتية العامة وغيرها من الأنظمة الحيوية التي قد لا تحظى باهتمام كافٍ من المدافعين.”
في الوقت الحالي، تبدو معظم المؤسسات مستعدة لطرح كل الحلول التي يمكنها التفكير فيها لحل مشكلة (وفائدة) اكتشاف الأخطاء بشكل سريع. يقول أليكس زينلا، كبير مسؤولي التكنولوجيا في شركة Edera للأمن السحابي: “يؤدي هذا إلى تغيير ديناميكيات صناعة اصطياد الأخطاء، لكنه لا يزال يتطلب وقتًا بشريًا”.
في وقت سابق من هذا الشهر، أطلقت Anthropic مكافأة اكتشاف الأخطاء من HackerOne للباحثين لتقديم نتائج حول أنظمة الشركة الخاصة ونماذج Claude AI. ومع ذلك، يرى بعض الباحثين على نحو متزايد أن الدفاعات الهيكلية ضرورية لمعالجة تسريع اكتشاف الثغرات الأمنية. بمعنى آخر، إنهم يصممون حلولًا رقمية لفئات مختلفة من نقاط الضعف التي تقضي عليها أو تجعلها أقل قابلية للاستغلال في الممارسة العملية.
يقول نيلز بروفوس، مهندس الأمن والباحث منذ فترة طويلة: “لا يمكنك تصحيح طريقك للخروج من هذا الوضع”. “أنت بحاجة إلى إنشاء بنية تحتية تجعل أكبر عدد ممكن من الأخطاء غير ذي صلة.”
