Штучний інтелект затопив програми баг-баунтів, відкривши ризики безпеки криптовалют

Штучний інтелект затоплює програми баг-баунтів сміттєвими звітами — і криптовалютні компанії потрапили під удар. Компанії та проекти з відкритим кодом, які покладаються на збірні пошуки вразливостей, перенасичені зростанням звітів, згенерованих ШІ, багато з яких є хибними, вводять в оману або не потребують зусиль. За даними Financial Times, команди безпеки витрачають набагато більше часу на класифікацію сміття, ніж на виправлення реальних недоліків, що змусило деякі організації призупинити або переосмислити публічні програми баг-баунтів. Чому це важливо для криптовалют: баг-баунті — це перша лінія захисту для бірж, гаманців, платформ розумних контрактів та іншої криптовалютної інфраструктури. Лише у 2025 році компанії, включаючи Meta, Microsoft, Apple та Crypto.com, разом виплатили не менше $58 мільйонів дослідникам, які відповідально повідомили про вразливості. Якщо програми баг-баунтів стануть занадто шумними або розвалються під натиском спаму, час вразливості критичних проблем у блокчейні та сховищах зростає — це небезпечна перспектива для коштів і користувачів. Що спричиняє хвилю: генеративний ШІ робить дешевим і швидким виробництво великих обсягів правдоподібних звітів про вразливості. Bugcrowd, платформа з Сан-Франциско, клієнтами якої є OpenAI, повідомила, що кількість звітів, поданих через її сервіс, більш ніж у чотири рази зросла за три тижні у березні — і більшість з них були фальшивими. Як наслідок, деякі організації вже скорочують програми. У квітні HackerOne та Nextcloud призупинили платні програми баг-баунтів; Nextcloud прямо заявила: «жодні фінансові винагороди не будуть присуджені за будь-які подання, незалежно від серйозності», додавши, що галузь «не змогла знайти способи відповідально обробляти масовий зростання низькоякісних звітів». «Програми баг-баунті залишаться [але] їм доведеться змінитися», — сказав Financial Times Росс Маккерчар, CISO Sophos — погляд, який все частіше підтримують команди безпеки, що шукають нові способи виявлення корисної інформації серед шуму, згенерованого ШІ. Тим часом ШІ покращує як атакуючу, так і захисну сторони безпеки. У березні Anthropic представила кiber-орієнтовану модель під назвою Mythos, яку компанія стверджує, що може виявляти вразливості швидше, ніж люди. Доступ зараз обмежений великими технологічними компаніями, компаніями з безпеки та урядами. У внутрішніх тестах Mythos (вона ж Claude Mythos) мала виявити 271 вразливість у Mozilla Firefox, а пре-версія була пов’язана з розробкою експлойту проти чипів Apple M5. Спостерігачи ринку на Myriad — прогнозному ринку, що належить Dastan, материнському підприємству Decrypt — оцнюють лише 18% шансу того, що Claude Mythos буде запущена у загальний доступ до кінця червня — що свідчить про те, що широкий доступ може залишитися обмеженим наразі. Що це означає та як галузь може відреагувати: - Короткостроково: очікуйте більше призупинень баг-баунтів, програм тільки для запрошених або перевірених дослідників та довших затримок у класифікації. Криптовалютні компанії, яким потрібна публічна збірна охота за вразливостями, особливо вразливі. - Середньостроково: команди безпеки, ймовірно, приймуть потужнішi фiльтри подань, системи винагород на основi репутацiї та інструменти класифiкацiї з пiдтримкою ШІ для автоматичного вилучення низькоякiсних звiтiв. - Довгостроково: гiбриднi пiдходи — поєднання людських рецензентiв, перевiрених груп експертiв та цiльових баг-баунтiв для високовартiсних об’єктiв (наприклад, аудит розумних контрактiв) — можуть стати нормою. Для криптовалютного сектору цей шум — це розгалуження: покиньте публiчний контроль на вашу власну небезпеку або модернiзуйте програми баг-баунтiв та інструментарiй для опору шуму, згенерованому ШІ. Будь-який шлях — органiзацiї, якi зможуть застосувати розумнiшi фiльтри та надiйнi мережi дослiдникiв, будуть краще позицiонованi для забезпечення безпеки протоколiв, гаманцiв та бiрж у майбутньому, коли генеративний ШІ перетворює ландшафт повiдомлень про вразливостi.