Künstliche Intelligenz (KI) va s’attaquer aux trois programmes Bug-Bounty. Des experts en sécurité examinent les grands modèles linguistiques (LLM) pour savoir :

• die Suche nach Schwachstellen zu automatisieren,
• Reverse Engineering des API pour les services intelligents, et
• Code-Basen schneller denn je zu durchleuchten.

Les Allerdings gehen cese Effizienz- und Geschwindigkeitsgewinne in der Praxis mit neuen Problemen Einher.

Le bug-bounty-filterblase

« Wir haben beobachtet, ass KI ass Echokammer and Verstärker für Personen fungiert, die glauben, andwas entdeckt zu haben. Das führt in a Abwärtsspirale der Bestätigungsverzerrung », a déclaré Inti De Ceukelaire, Chief Hacker Officer bei der Bug-Bounty-Plattform Intigrite. Les équipes de sécurité, qui ont des rapports externes sur les rapports de sécurité, sont généralement sceptiques et sceptiques, rapportent les experts en sécurité. Un outil pour créer des rapports de bugs générés par KI, qui aide à la préparation de la plate-forme Bug-Bounty de Ceukelaire avec des services de tri intégrés : « Des plates-formes peuvent être utilisées par des experts en recherche pour un travail de recherche plus long et un autre KI-Fehler. identifier. »

Doch auto wenn Wenn Triage an dieser Stelle hefen kann: Besonders Bug-Bounty-Programme, die nicht mit Ressourcen im Übermaß gesegnet sind (Stichwort: Open Source), werden auch dadurch zusätzlich belastet. Un exemple est celui du projet Curl quelloffene (un outil de référence, qui est utilisé par les utilisateurs). Le responsable du projet Daniel Stenberg a publié un blog sur un blog, l’un et l’autre de l’équipe au cours de la journée, ce qui explique pourquoi les rapports de bogues de KI-Tools ont été publiés : « L’équipe de sécurité Curl est la meilleure pour vos personnes. Ce rapport est rédigé trois à quatre fois Personen für den Zeitraum von 30 Minuten bis hin zu trois orer vier Stunden.

Dass die Ergebnisse, die KI-Tools beim Bug Hunting liefern, beher gemischt ausfallen, bestätigen etere Security-Praktikers. Etwa Bobby Kuzma, responsable de la société de sécurité et de conformité ProCircular : « Lorsque nous avons de riches perspectives et validations, les KI-Tools ont été développés de manière optimale. Mais il y a aussi le programme Bug-Bounty, qui a été créé par un surpoids et une fusion. werden, die – um es vorsichtig auszudrücken – Schrott sind.

L’homme, l’éditeur de KI-Tools, a été dit par Trevor Horwitz, RSSI de la plateforme britannique de recherche en investissement TrustNet, ainsi que l’organisation de la chasse aux bogues : « Les meilleurs utilisateurs travaillent pour l’homme, l’homme, l’homme des outils. einsetzt. KI kann für Geschwindigkeit und Skalierbarkeit sorgen, aberst menschliches Urteilsvermögen sorgt für nachhaltige Ergebnisse.

Gal Nagli, responsable de l’exposition aux menaces chez Cloud-Sicherheitsanbieter Wiz, a vu ce qui suit : « Ce que le KI a dit, c’est la recherche pour l’analyse. Attention, si vous avez besoin d’un portail authentifié pour tester ou utiliser une base de code et des données JavaScript complètes zu analysieren Das hilft, Schwachstellen aufzudecken, die ohne KI bisher zu complexe or zu subtil waren, um sie erkennen zu können.

Des agents autonomes sont présents dans cette entreprise jusqu’à présent dans la Suisse, de sorte que le Wiz-Manager – se trouve en scénario, dans cette zone est auf den schlichen Kontext ankomme. (fm)

Avez-vous d’autres études intéressantes sur le thème de la sécurité informatique ? Notre newsletter gratuite liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.