HackerOne cắt giảm sâu phần thưởng săn lỗi do tác động của AI

HackerOne cắt giảm sâu phần thưởng săn lỗi do tác động của AI

Việc tìm kiếm lỗ hổng bảo mật không còn mang lại thu nhập như xưa. Ít nhất một thợ săn lỗi (bug hunter) đã phát hiện ra một lỗ hổng bảo mật trong mã nguồn mở và báo cáo lên chương trình Internet Bug Bounty (IBB) của HackerOne vài tháng trước đây. Mặc dù cuối cùng anh ấy cũng nhận được tiền công cho công sức của mình, nhưng mức thưởng đã bị cắt giảm một cách đau đớn.

Nhà nghiên cứu bảo mật này đã tìm thấy một lỗ hổng mức độ trung bình (medium-severity) trước đây thường trả 1.843 USD. Tuy nhiên, tính đến thứ Hai vừa rồi, chương trình IBB của HackerOne chỉ trả 297 USD cho cùng một mức độ nghiêm trọng đó.

Tương tự, phần thưởng tiền mặt mới cho một lỗ hổng nghiêm trọng (critical) là 2.257 USD, so với mức thưởng cũ là 9.250 USD. Các lỗi mức độ cao (high-severity) hiện chỉ mang về 1.009 USD, trong khi trước đây chúng được trả 4.429 USD. Ngay cả các lỗi mức độ thấp (low-severity) cũng chỉ mang lại cho các nhà nghiên cứu 68 USD, so với mức thưởng cũ là 597 USD.

Chương trình tạm dừng và sự quá tải

Hiện tại, chương trình IBB của HackerOne vẫn đang trong thời gian nghỉ và không chấp nhận các bài nộp mới. Một người phát ngôn của công ty cho biết: "Chương trình IBB hiện đang tạm dừng trong khi chúng tôi đánh giá các điều chỉnh nhằm tối đa hóa giá trị cho các nhà nghiên cứu, nhà tài trợ và hệ sinh thái mã nguồn mở. Chúng tôi vẫn cam kết strengthening bảo mật mã nguồn mở thông qua nghiên cứu bảo mật đạo đức."

Khi được hỏi liệu các báo cáo được tạo bởi AI có đóng vai trò nào trong việc tạm dừng và giảm mức thưởng hay không, người phát ngôn đã không đưa ra câu trả lời trực tiếp. Thay vào đó, họ nhấn mạnh rằng các mức thưởng trong chương trình này được điều chỉnh thường xuyên dựa trên sự đóng góp từ các nhà tài trợ.

Tác động của Trí tuệ nhân tạo

Vấn đề cốt lõi ở đây là sự thay đổi nhanh chóng trong kinh tế học của việc báo cáo lỗ hổng. Chỉ vài tháng trước, những người bảo trì dự án và chính các thợ săn lỗi vẫn coi đây là vấn đề của những báo cáo "rác" do AI tạo ra. Tuy nhiên, gần đây, khi các mô hình AI ngày càng xuất sắc hơn trong việc viết mã và khai thác lỗi, các dự án mã nguồn mở không thể theo kịp tốc độ của các báo cáo lỗi, vốn vẫn cần con người để thẩm định.

Daniel Stenberg, người sáng lập và nhà phát triển chính của dự án curl, từng chia sẻ trên mạng xã hội rằng họ không còn nhận được các báo cáo bảo mật "rác" từ AI nữa. Thay vào đó, họ nhận được một lượng báo cáo bảo mật thực sự tốt ngày càng tăng, và hầu hết đều được thực hiện với sự trợ giúp của AI.

Người bảo trì nhân Linux Greg Kroah-Hartman cũng lưu ý trong một cuộc phỏng vấn rằng các báo cáo lỗi được hỗ trợ bởi AI hiện nay chứa ít thông tin rác hơn và nhiều mối quan ngại hợp lệ hơn. Thậm chí, Linus Torvalds, người đứng đầu dự án nhân Linux, cũng tuyên bố rằng danh sách gửi thư bảo mật của dự án đã trở nên "gần như không thể quản lý được" do nhiều nhà nghiên cứu sử dụng AI để tìm lỗi và sau đó làm đầy danh sách với các báo cáo trùng lặp.

Sự thay đổi mô hình săn lỗi

Jakub Ciolek, một hacker từng báo cáo hai lỗi từ chối dịch vụ (DoS) trong Argo CD thông qua IBB, cho biết anh ấy vẫn đang chờ đợi tin tức từ HackerOne. Anh ấy nhấn mạnh rằng vấn đề không phải là tiền bạc.

"Mức thưởng giảm là một triệu chứng," Ciolek nói. "Kinh tế học của việc báo cáo lỗ hổng đang thay đổi rất nhanh. Các chương trình tiền thưởng lỗi (bug bounty) ban đầu được thiết kế để thưởng cho những thứ khan hiếm. Trước đây, đó là việc phát hiện ra lỗi. Ngày nay, việc tìm ra các lỗi có khả năng xảy ra đang trở nên rẻ hơn nhiều, và việc tạo báo cáo thì dễ dàng mở rộng quy mô. Phần tốn kém nhất vẫn rất mang tính con người: ai đó phải xác minh tác động, lọc bỏ các báo cáo trùng lặp, quyết định xem liệu vấn đề có thực sự vượt qua ranh giới bảo mật hay không, phối hợp công bố và triển khai bản vá an toàn."

Mặc dù thông cảm với những thay đổi về kinh tế và năng lực của các nhà bảo trì dự án mã nguồn mở đang bị quá tải, Ciolek chỉ ra vấn đề niềm tin giữa các nhà nghiên cứu và các chương trình săn lỗi.

"Vấn đề niềm tin ở đây là sự thay đổi đã được áp dụng hiệu quả lâu sau khi công việc đã hoàn thành, được khắc phục và được công khai công nhận dưới một kỳ vọng khác," Ciolek nhận định. "Việc công bố có trách nhiệm phụ thuộc vào niềm tin của các nhà nghiên cứu vào quy trình này là có thể dự đoán được. Các quy tắc không nên thay đổi sau khi công việc đã hoàn thành."

Ciolek cho biết anh ấy không còn tích cực thực hiện nghiên cứu săn lỗi nữa, nhưng vẫn sẽ báo cáo các vấn đề nghiêm trọng nếu tìm thấy. "Trong bối cảnh bão hòa hiện nay, tôi không muốn thêm thêm khối lượng trừ khi tôi tự tin rằng vấn đề đủ nghiêm trọng," anh kết luận. "Trong kỷ nguyên hỗ trợ bởi AI này, công việc có giá trị không còn chỉ là 'tôi tìm thấy một lỗi khác'. Nó là 'tôi đã xác minh điều này quan trọng và giúp khắc phục nó'. Tôi nghĩ rằng mô hình săn lỗi gốc dựa trên việc phát hiện đầu tiên đang trở nên lỗi thời. Mô hình tiếp theo phải thưởng nhiều hơn cho chu trình khắc phục, không chỉ cho việc tìm thấy."