暗号プロトコル側は、AIの使用増加により偽のバグバウンティ報告が急増し、プロトコルの真の脅威を特定しようとするチームに大きな負担をかけていると警告しています。
バグバウンティは、「ホワイトハット」ハッカーが潜在的な脆弱性を報告した際に報酬を提供する仕組みであり、暗号通貨業界で広く普及しています。AIは現在、大量のコードをスキャンして潜在的な脆弱性を発見するのにより容易になっていますが、AIは「幻覚」でも知られています。
「AIは脆弱性報酬プログラムの運営方法を変革している」と、コスモスラボズの共同CEOであるバリー・プランケットは火曜日、プロトコル側が自身の脆弱性報告を無視したと非難したバグバウンティハンターに応じて述べた。
「今年のプロジェクト提出数は昨年比で900%増加し、毎日約20〜50件あります」と彼は述べ、その結果、有効な報告と無効な報告の両方が大幅に増加したと補足しました。
ブロックチェーン開発者で、Komodo Platformの最高技術責任者であるKadan Stadelmannは、Cointelegraphに対して、機関からのバグバウンティの提出と支払いが明確に増加していると語った。
低品質なバグバウンティ提出が確かに増加しており、その一部は誤報告であり、これは人工知能の関与を示唆している可能性があります。一つの可能性として、人工知能が報告の作成コストを低下させ、その結果、提出数が急増したことが考えられます。
今年1月、オープンソースのデータ転送ツールcurlの作成者であるDaniel Stenbergは、このツールがブロックチェーンインフラを含む多くのアプリケーションで使用されていることを踏まえ、「脆弱性報告に人工知能によるスパムが満ちあふれており、これらの報告を確認するのに疲れ果てた」として、自らのバグバウンティプログラムを終了すると発表した。
世界的最大級のバグバウンティプラットフォームの1つであるHackerOneは、2025年には前年比7%増の85,000件の有効なバグバウンティ提出があったと報告しました。
人工知能は原因である可能性もあり、解決策である可能性もある
Plunkettは、脆弱性報酬の提出数が増加したことに伴い、Cosmos Labsは提出評価基準を厳格化し、信頼できる実績のある研究者を優先的に処理するとともに、より高度なフィルタリングサービスを提供する他の脆弱性報酬プラットフォームと協力し始めたと述べた。
一方、Stadelmannは、バグバウンティプログラムが分散型システムの防御に不可欠であることが証明されており、人工知能を活用してノイズを除去することが解決策となる可能性があると述べました。
「ブロックチェーンチームは、受け入れられる脆弱性報酬をフィルタリングするためにAI防護メカニズムを構築しなければならなくなるでしょう。チームが小さければ小さいほど、脆弱性報酬の増加によって生じる問題は大きくなります。ソフトウェアエンジニアはすべての内容を一つずつ確認する能力を持っていません。」
これが、防御的なAIシステムが自動的にフィルタリングして入る脆弱性報奨金が極めて重要になる場所です。脆弱性報奨金に依存するチームは、入力される報告の数を減らすために、自らの脆弱性報奨金プログラムにより厳格な基準を設ける必要があります。