2024’te AI’nın iş akışlarının hacklenmesinde benimsenmesini gördük. Hackerone platformunda 2.000’den fazla güvenlik araştırmacının bir araştırmasında,% 20’si AI’yi 2023’te% 14’ten çalışmalarının önemli bir parçası olarak görüyor. Bazı hackbot operatörleri raporu:
- PropertyGpt: “Test edilen 37’den 26 CVE/saldırı olayını başarıyla tespit etti ve 12 sıfır günlük güvenlik açıklarını ortaya çıkardı ve bu da 8.256 dolarlık böcek ödülleri ile sonuçlandı.”
- Xbow: “Son üç ay içinde Xbow’u geliştirirken, böcek ödülleri için kullanarak oynadık ve Hackerone’de ABD’de 11. sırada yer aldık. Eylül ayından bu yana, 20 eleştirel bulgu dahil olmak üzere 65 rapor sunuldu. “
- Vardiya: “Vardiyalı hedef basit: SOTA LLM’leri günlük hackleme aracımızın içinde sorunsuz bir şekilde kullanın: Caido. Gerçek entegrasyonla, bir isteği yeniden biçimlendirmek veya belirli bir kimlik bulmak için tekrarlayan çalışmayı boşaltabilirim ve bir hacker beynini gerektiren hacklemenin karmaşık yönlerine odaklanabilirim. Shift bizi hackleme araçlarımızın sürtünmesiz kullanımına ve saldırı vektörlerinin verimli bir şekilde uygulanmasına yaklaşacak. ” – Justin Gardner, vardiyanın yaratıcısı
- Ethiack: “AI güvenlik araştırmacılarının yerini almıyor; Tam gücümüzü serbest bırakıyor. Güvenlik açıklarını keşfetme ve düzeltmede bizi daha etkili hale getirir, böylece en önemli şeylere odaklanabiliriz: yaratıcı düşünme, işbirliği ve insan zihninin sonsuz merakını gerektiren zorlukları çözme. ” – André Baptista, Ethiack’ın kurucu ortağı
Keşfedilen ve düzeltilen her güvenlik açığı, kaynağa bakılmaksızın İnterneti güçlendirir. Hackbotların güvenlik topluluğu için güçlü bir araç olduğuna inanıyoruz, güvenlik açığı keşfini hızlandırıyor ve nihayetinde interneti daha güvenli hale getiriyor.
Bu hackbotların erken benimseyenleri, davranışlarını düzenleyen yeni bir kural kümesine olan ihtiyacı ortaya çıkardılar. Bugün, hackbotları bazı temel ilkelerle Hackerone’a resmi olarak ağırlamaktan heyecan duyuyoruz:
- Kurallara göre: Hackbots, Hackerone’un Davranış Kuralları ve Açıklama Yönergeleri ile birlikte, ilgilendikleri programın yayınlanmış güvenlik açığı açıklama politikaları dahilinde çalışmalıdır.
- Döngüde İnsan: Hackbots tamamen özerk bir şekilde çalışmamalıdır – evet. Bir güvenlik açığı açıklamasına (VDP) veya Bug Bounty Programına (BBP) göndermeden önce insan uzmanlarının tüm potansiyel güvenlik açıklarını araştırmasını, doğrulamasını ve onaylamasını gerektiren bir “Hacker-In-To-To-To-To-the-Loop” modeli kullanıyoruz.
- Sorumlu: Hackbot operatörleri, hackbotlarından sorumludur ve platform kurallarına ve program politikalarına uymayı sağlamak için gerekli tespiti kullanmalıdır.
- Ödül Uygun: Hackbots’un insan operatörleri, tıpkı güvenlik açıkları geleneksel yollarla keşfedilmiş gibi, geçerli hata ödül ödüllerine hak kazanırlar.
Herhangi bir güçlü araç gibi, hackbotların kötüye kullanılabileceğini kabul etmek önemlidir. Bu nedenle insan gözetimi ve belirlenmiş ifşa uygulamalarına bağlılık istemek esastır. Anlaşılan ilkelerimiz, temel bir sorumlu davranış kültürünü geliştirmeye yardımcı olmak için tasarlanmıştır. AI-A-Mesela Hacking’in uygulaması geliştikçe bu ilkeleri ilerletmek için toplulukla ortaklık kurmayı dört gözle bekliyoruz.
Bir böcek ödül programı yürütmenin, işletmelerin Hackbots’u mümkün kılan AI inovasyonundan yararlanmasının en iyi yollarından biri olduğuna inanıyoruz. Hackbot operatörleri artık hata ödül programlarına katılmaktan ve gerçek dünya kıyaslama ortamında etkinliklerini ve AI becerilerini göstererek eşit derecede yararlanabilir.
Hackbots güvenlik araştırmacılarının yerini alıyor mu?
Kesinlikle hayır.
En iyi araştırmacılar her zaman benzersiz yaratıcılıklarını mevcut en iyi otomasyonla birleştirmeye güveniyorlardı. Hackbots, bu evrimin bir sonraki adımıdır. Tekrarlayan görevleri otomatikleştirebilir, büyük miktarda kodu tarayabilir ve potansiyel güvenlik açıklarını çok daha hızlı bir şekilde tanımlayabilirler. Ancak, insan yargısı çok önemlidir. Hackbotlar, bir kırılganlığı uçtan uca tam olarak anlamak ve kullanmak için gereken yaratıcılık, eleştirel düşünme ve bağlamsal anlayıştan yoksundur. Modern hackbotlar, teknoloji ve tehditler geliştikçe araştırmacı geri bildirimlerinden takviye öğrenmesine bağlıdır.
Burası insan araştırmacının devreye girdiği yerdir. Hackbots ve hackerlar birlikte çalışarak çok daha iyi sonuçlar elde edebilirler. Hackbots, potansiyel zayıflık alanlarını vurgulayarak daha geniş bir başlangıç taraması sağlayabilir ve en yüksek performansı korumak için kahve veya uyku gerektirmezler. Kafeinle çalışan insan araştırmacıları daha sonra daha derine inebilir, bulguları analiz edebilir ve güvenlik açıklarını yaratıcı bir şekilde kullanabilir. Bu işbirlikçi yaklaşım, bir programın güvenlik duruşunun ve nihayetinde daha güvenli bir ürün hakkında daha kapsamlı bir şekilde anlaşılmasına yol açar.
Son Savunma Hattımız
Suçlular yapay zeka ve hackbotları saldırgan araç setlerine dahil ediyorlar. Hackbots’un da iyilik için hacklenmesine ihtiyacımız var.
Güvenlik liderleri, savunmaya derinlemesine inandıkları ve gümüş mermilerin cazibesini reddettikleri için böcek ödül programları yürütüyorlar. Araştırmacı topluluğu hakkında en çok sevdiğimiz şey, çeşitliliğinin gücüdür. Şaşırtıcı geçmişlerden gelen parlak güvenlik araştırmacıları, en sertleştirilmiş saldırı yüzeylerinde bile yaratıcı kusurlar buluyor. Aynı ilkeler hackbotlar için de geçerli olacaktır. Güvenlik liderleri yakında AI ile tüm güvenlik sorunlarımızı çözen yapılmaz fanteziler satan pazarlama sahalarıyla su altında kalacaklar. Mütevazi görüşümüze göre, sadece aptallar güvenliğini tek bir gümüş botta bahse girerler.
En iyi hack kazansın!