IA e a Corrida por Bugs: O Fim da Divulgação de 90 Dias?
A década passada viu a ascensão dos programas de recompensa por bugs, os famosos bug bounties. Instituições, antes avessas à pesquisa de segurança, passaram a reconhecer o valor de receber contribuições externas e lançar correções. A Apple, por exemplo, elevou sua recompensa máxima para US$ 2 milhões. Contudo, essa realidade está em plena transformação.
Com a evolução de modelos de IA, capazes de identificar vulnerabilidades e desenvolver exploits de forma autônoma, o cenário mudou. Programas de divulgação de falhas estão sendo sobrecarregados, e as próprias organizações encontram mais bugs do que nunca. Essa abundância de descobertas está alterando a economia dos bug bounties, tanto para quem oferece quanto para os pesquisadores.
Joseph Thacker, um pesquisador de segurança independente, comenta que submeteu o triplo de bugs este ano em comparação ao anterior. Ele prevê que empresas como o Google podem gastar de duas a dez vezes mais em pagamentos de recompensas. Embora gigantes da tecnologia possam absorver esse custo, a maioria das empresas não consegue. A IA está descobrindo falhas significativas, e a tendência é que o volume de bugs ‘fáceis’ diminua, levando a um aumento nas recompensas por vulnerabilidades mais complexas.
A dinâmica de oferta e demanda ainda é incerta a longo prazo. No entanto, a eficácia da IA na descoberta de exploits e na varredura de sistemas pode pressionar desenvolvedores a lançar patches mais rapidamente. Padrões estabelecidos, como o prazo de 90 dias para divulgação responsável, que foram criados para um mundo com poucos pesquisadores e desenvolvimento lento de exploits, estão obsoletos. Como Himanshu Anand observou, “As LLMs comprimiram ambos os cronogramas”.
A pressão de ataques facilitados por IA também pode catalisar melhorias na agilidade com que as organizações implementam correções. A proliferação de patches sempre foi um desafio complexo, pois a instalação de software em larga escala, sem testes adequados, pode gerar consequências indesejadas, como interrupções de serviço.
Pesquisadores do Google observaram atores de crimes cibernéticos usando IA para explorar uma vulnerabilidade zero-day, desenvolvida para contornar a autenticação de dois fatores em uma plataforma de administração de sistemas open source. Embora o Google tenha notificado o desenvolvedor e a correção tenha sido emitida, o incidente ilustra a mudança no panorama da caça a bugs. John Hultquist, analista-chefe do Google Threat Intelligence Group, afirma que essa é a primeira evidência concreta do uso de IA por atacantes para descobrir novas vulnerabilidades e criar exploits.
Enquanto questões de estado-nação são sérias, a maioria dos incidentes ainda envolve criminosos. O uso de zero-days por esses grupos tem sido limitado, mas aqueles que os utilizam são bastante bem-sucedidos. Não devemos subestimar o impacto de mais criminosos com um zero-day em mãos. Para pesquisadores que dependem da caça a bugs, os tempos estão mudando. Ferramentas como o Curl já encerraram seus programas de bug bounty, sinalizando um futuro incerto para o modelo atual.
Fonte: https://www.wired.com/story/the-ai-era-is-creating-a-bug-hunting-arms-race/
