Le référentiel de codes cloud demande aux chercheurs en sécurité d’éliminer le bruit généré par l’IA et de se concentrer sur le signalement des problèmes de sécurité qui sont de sa faute et non de celle de ses utilisateurs.
Face au volume croissant de soumissions à son programme de bug bounty, GitHub remplace les primes en espèces par des récompenses en cadeaux pour les rapports ayant un faible impact sur la sécurité – et demande aux chercheurs de cesser de soumettre des rapports de mauvaise qualité ou sur des choses qui ne sont pas de sa faute.
La plate-forme de référentiel de code basée sur le cloud a connu une forte augmentation des soumissions qui ne démontrent pas d’impact réel sur la sécurité au cours de l’année écoulée en raison de nouveaux outils tels que l’IA générative.
« Toutes les soumissions valides ne représentent pas un risque de sécurité significatif. Certains rapports identifient des opportunités de renforcement ou des lacunes dans la documentation », a écrit Jarom Brown, chercheur principal en sécurité chez GitHub, dans un article de blog.
En plus de cela, a-t-il déclaré, de nombreux rapports reçus par GitHub décrivent des scénarios hors de portée dans lesquels une personne subit un résultat « indésirable » après avoir interagi avec du contenu malveillant dans GitHub.
« Ces rapports sont souvent bien rédigés et techniquement précis dans leurs observations, mais ils ne comprennent pas où se situe la limite de sécurité. Lorsqu’une « attaque » nécessite que la victime recherche activement et interagisse avec un contenu contrôlé par l’attaquant (clonage d’un dépôt malveillant, demande à un outil d’IA d’analyser du code non fiable, ouverture d’un fichier contrefait), la limite de sécurité est la décision de l’utilisateur de faire confiance à ce contenu. Ces scénarios ne représentent généralement pas un contournement des contrôles de sécurité de GitHub », a-t-il écrit.
L’explication de Brown sert également à rappeler aux utilisateurs de GitHub ce que l’entreprise attend d’eux pour se protéger.
Même si l’intelligence artificielle a gonflé le flot de rapports de bugs, GitHub ne veut pas que les chercheurs en sécurité arrêtent de l’utiliser. « Nous n’avons aucun problème avec les chercheurs qui utilisent des outils d’IA. L’IA est un multiplicateur de force et nous nous attendons à ce qu’elle joue un rôle croissant dans la recherche sur la sécurité. Nous utilisons l’IA dans nos propres programmes de sécurité interne, et nous voyons les meilleurs chercheurs externes faire de même. Nous nous en félicitons », a écrit Brown.
Mais toutes les soumissions générées par l’IA doivent d’abord être examinées et validées par un être humain – une règle qui s’applique à l’utilisation de tout outil d’aide à la recherche de bogues.
De cette manière, GitHub espère éliminer les rapports sans preuve de concept, les scénarios d’attaque théoriques qui ne résistent pas à un examen minutieux et d’autres couverts par sa liste publiée de ceux qui ne sont pas éligibles aux récompenses.
Le bruit généré par l’IA est un problème pour l’industrie
GitHub n’est pas le seul fournisseur de bug bounty aux prises avec le volume de soumissions, même si tous ne sont pas aussi accueillants envers l’IA.
Les fournisseurs de sécurité, les responsables de la maintenance open source et les plateformes de bug bounty du secteur, préviennent les analystes, se plaignent de plus en plus d’un flot de rapports de vulnérabilité de mauvaise qualité, assistés par l’IA, qui font perdre du temps aux analystes, ralentissent la réponse aux incidents et rendent plus difficile l’identification des menaces légitimes dans un contexte de volumes croissants de bruit automatisé.
Le projet open source Curl a éliminé son bug bounty en raison du manque d’IA, et HackerOne a suspendu les paiements de son programme Internet Bug Bounty parce qu’il ne pouvait pas suivre les soumissions d’IA. Le programme de récompense des vulnérabilités des logiciels open source de Google restreint également les paiements.
Et le créateur de Linux, Linus Torvalds, a récemment averti qu’un « flot continu » de rapports de vulnérabilité générés par l’IA avait rendu la liste de diffusion sur la sécurité du noyau Linux « presque entièrement ingérable » en raison de la duplication massive des chercheurs utilisant les mêmes outils d’IA pour trouver des bogues identiques.
Couper le pipeline de talents en sécurité
Pareekh Jain, analyste principal chez Pareekh Consulting, a déclaré que le passage de GitHub des paiements en espèces aux cadeaux pourrait réduire la participation de nouveaux chercheurs indépendants, dont beaucoup comptent sur les récompenses de découvertes plus modestes pour renforcer leur crédibilité, perfectionner leurs compétences et soutenir financièrement leur travail.
Ce déclin de la participation au bas de l’écosystème pourrait avoir des conséquences à plus long terme sur le vivier de talents en cybersécurité si moins de nouveaux arrivants considèrent la chasse aux bugs comme une voie viable pour apprendre, contribuer et grandir au sein de la communauté de la sécurité, a déclaré Akshat Tyagi, responsable associé des pratiques chez HFS Research.
D’un autre côté, Tyagi a souligné que cette décision pourrait être positive pour les chercheurs expérimentés : « Moins de bruit dans les files d’attente signifie un tri plus rapide, des paiements plus rapides et une plus grande crédibilité du programme ».
Une porte ouverte, mais pas pour tout le monde
Sanchit Vir Gogia, analyste en chef de Greyhound Research, s’attend à ce que des plateformes telles que GitHub répondent au déluge d’IA en introduisant des contrôles de confiance plus explicites dans les flux de travail de contribution.
« Certains seront visibles : autorisations, limites de débit, modèles, vérification d’identité, notation de réputation. D’autres seront moins visibles : systèmes de classement, pré-triage automatisé, signaux d’origine IA, notation comportementale et priorisation discrète des contributeurs connus », a-t-il déclaré.
Et Jain a suggéré que GitHub pourrait appliquer son outil de révision de code Stacked PRs récemment introduit à son programme de prime aux bogues. « Tout comme les PR empilés aident les développeurs à examiner le code généré par l’IA en morceaux plus petits et plus structurés, les plateformes de bug bounty peuvent introduire des soumissions de vulnérabilités plus structurées avec une validation automatisée, des étapes d’exploitation reproductibles, une déduplication et un tri assisté par l’IA », a-t-il déclaré. « Les rapports de sécurité pourraient commencer à ressembler davantage à un flux de travail CI/CD plutôt qu’à de longs rapports textuels. »
