Bug bounty businesses bombarded with AI slop

개요

AI 기술의 발전으로 버그 바운티 프로그램에 AI가 생성한 저품질 보고서가 폭증하며 업계가 어려움을 겪고 있습니다.

주요 내용

* AI 기반 자동화 시스템은 경험 많은 AI 개발자들이 구축하여 버그 보고서의 "절대적인 혼돈"을 야기하고 있습니다.
* 자동 생성된 보고서들은 관리 및 검증에 상당한 시간과 정신적 부담을 주고 있습니다.
* Nextcloud는 저품질 보고서의 급증으로 인해 4월에 버그 바운티 프로그램을 중단했으며, 효과적인 필터링 방법을 찾은 후 재개할 예정입니다.
* Anthropic의 새로운 사이버 AI 모델인 Mythos는 인간보다 빠르게 소프트웨어 취약점을 발견할 수 있다고 주장합니다.
* 버그 바운티 프로그램을 운영하는 기업들은 엄격한 배경 조사 강화 및 AI 에이전트 구축을 통해 제출물 분류에 대응하고 있습니다.
* HackerOne은 올해 "agentic validation capabilities"를 도입하여 Mythos와 같은 모델에서 생성된 높은 볼륨의 결과물을 관리하는 데 도움을 주고 있으며, 제출물은 1년간 76% 증가했습니다.
* 전체 보고서 중 합법적인 취약점을 지적하는 보고서의 비율은 지난 1년간 25%로 일정하게 유지되었습니다.
* HackerOne CEO는 AI를 활용한 "더 높은 품질"의 보고서가 증가하고 있으며, 해커들이 AI를 사용하여 더 많은 취약점을 발견하고 있음을 언급했습니다.
* Bugcrowd CEO는 Mythos와 같은 개발이 인간 버그 바운티 헌터를 보조할 것이며, 인간의 창의성을 완전히 대체하지는 않을 것이라고 말했습니다.

시사점

AI 기반 보고서의 증가는 버그 바운티 프로그램 운영에 새로운 도전 과제를 제시하지만, 동시에 AI가 취약점 발견의 효율성을 높이는 데 기여할 잠재력도 보여줍니다.