असुरक्षा बाजार एका नव्या टप्प्यात प्रवेश करत आहे

कृत्रिम बुद्धिमत्ता केवळ सॉफ्टवेअर कसे तयार होते ते बदलत नाही. ती सॉफ्टवेअर कसे बिघडते, त्या कमकुवत जागा किती वेगाने सापडतात, आणि त्या सर्वात आधी जाणून घेण्यासाठी कंपन्यांना किती पैसे द्यावे लागू शकतात हेही बदलत आहे. Wired च्या अहवालानुसार, AI-चालित असुरक्षा शोध आता बग बाउंटी कार्यक्रमांवर पूर आणू लागला आहे, ज्यामुळे सॉफ्टवेअर सुरक्षा परिसंस्थेत नवा आर्थिक आणि कार्यकारी ताण निर्माण होत आहे.

हे महत्त्वाचे आहे, कारण बग बाउंटी कार्यक्रम स्वतंत्र सुरक्षा संशोधक आणि मोठ्या तंत्रज्ञान कंपन्यांमधील सर्वात महत्त्वाचे पूल बनले आहेत. बाहेरील संशोधकांना विरोधक मानण्याऐवजी, कंपन्यांनी जबाबदारीने असुरक्षा जाहीर केल्याबद्दल त्यांना पैसे देणे अधिक पसंत केले. आता तीच व्यवस्था प्रमाणाच्या ताणाखाली तपासली जात आहे.

अधिक बग, अधिक सबमिशन, अधिक दबाव

मध्यवर्ती बदल सरळ आहे: agentic AI मॉडेल्स स्वायत्तपणे असुरक्षा ओळखण्यात आणि एक्सप्लॉइट विकसित करण्यात अधिक सक्षम होत आहेत. प्रत्यक्षात याचा अर्थ अधिक कमकुवत जागा वेगाने, आणि अधिक लोकांकडून, शोधल्या जाऊ शकतात. स्रोत मजकुरात वर्णन केल्याप्रमाणे, याचा परिणाम म्हणजे असुरक्षा खुलासा आणि बाउंटी कार्यक्रमांमध्ये सबमिशनचा पूर, त्याच वेळी संस्था अंतर्गतही अधिक बग शोधत आहेत.

स्वतंत्र संशोधक Joseph Thacker यांनी Wired ला सांगितले की त्यांनी मागील वर्षी याच टप्प्यापेक्षा सुमारे तीनपट अधिक बग सबमिट केले होते आणि Google सारखी कंपनी बक्षीस देयकांवर मागील वर्षापेक्षा दोन ते 10 पट अधिक खर्च करू शकते, असा अंदाज वर्तवला. हा अचूक अंदाज खरा ठरेल की नाही, ते नंतरचे; पण बदलाची दिशा स्पष्ट आहे: संशोधकाच्या प्रयत्न, बगची टंचाई आणि बक्षिसाचे आकारमान यांच्यातील जुना संबंध विस्कळीत होत आहे.

मोठ्या तंत्रज्ञान कंपन्या हा ताण पेलू शकतात. लहान संस्था कदाचित नाही. जर AI प्रणाली मोठ्या प्रमाणावर सापडू शकतील अशा कमी आणि मध्यम तीव्रतेच्या निष्कर्षांनी बाउंटी कार्यक्रम भरून टाकत असतील, तर triage कामाचा भार वाढतो, प्रतिसाद पथके ताणली जातात आणि देयक संरचनांमध्ये बदल करावा लागू शकतो.

Charities decry UK plan to use AI to assess age of young asylum seekers
More in Culture

यूकेच्या आश्रयार्थी वय-तपासणी AIला बाल निर्वासित गटांकडून विरोध

100 हून अधिक संस्था इशारा देत आहेत की आश्रयार्थ्यांवर AI-आधारित चेहऱ्याद्वारे वय अंदाज लावणे मुलांना प्रौढ म्हणून चुकीचे वर्गीकृत करू शकते.

Read article

संरक्षक आणि हल्लेखोर एकाच वेळी पुढे सरकत आहेत

हे केवळ अधिक कार्यक्षम संरक्षणाचे प्रकरण नाही. नैतिक संशोधकांना असुरक्षा शोधण्यात मदत करणारी तीच साधने हल्लेखोरांनाही एक्सप्लॉइट विकसित करण्यात मदत करू शकतात. ही समांतरता हा बदल केवळ सबमिशनच्या तात्पुरत्या वाढीपेक्षा अधिक गंभीर बनवते.

स्रोत मजकूर हे क्षेत्र हल्लेखोरांसाठीही समान गतीने बदलत असल्याचे वर्णन करतो. जर एक्सप्लॉइट विकासाचा वेग वाढला, तर एकेकाळी खुलासा निकषांना आधार देणाऱ्या सवलतीच्या गृहितकांना तडा जाऊ शकतो. विशेषतः, कंपन्यांना असे वाटू लागले की हल्लेखोर पूर्वीपेक्षा जलद गतीने त्रुटींना शस्त्रात रूपांतरित करू शकतात, तर दीर्घकाळ चालत आलेली 90-दिवसांची खुलासा मुदत दबावाखाली येऊ शकते.

लेखात उद्धृत केलेले सुरक्षा संशोधक Himanshu Anand यांनी असा युक्तिवाद केला की 90-दिवसांची जबाबदार खुलासा मुदत अशा जगासाठी तयार केली होती जिथे बग शोधणारे दुर्मिळ होते आणि एक्सप्लॉइट विकास मंद होता. हा दावा संरचनात्मक समस्या पकडतो. खुलासा धोरण शोध आणि शोषणाच्या वेगावर आधारित असते. AI ने दोन्ही बदलले, तर धोरणात्मक चौकट वास्तवाशी जुळणार नाही.

सध्याची मुबलकता कायमची नसेल

या अहवालातील अधिक रंजक मुद्द्यांपैकी एक म्हणजे आजची बाउंटी उसळी संक्रमणकालीन असू शकते. Thacker यांनी सुचवले की संशोधक सध्या सहज उपलब्ध असलेल्या असुरक्षा गोळा करत आहेत, पण पुढील वर्षी कमी बग सबमिट केले जाऊ शकतात, कारण सोपा भाग आधीच बराचसा झाकला गेलेला असेल. तसे झाले, तर कंपन्यांना असा चक्र अनुभवावा लागू शकतो ज्यात पगार आत्ता वाढतात, आणि नंतर कठीण प्रकारच्या त्रुटींवर लक्ष वेधण्यासाठी पुन्हा वाढवावे लागते.

ते बग बाउंटी अर्थव्यवस्थेत मोठा बदल ठरेल. दुर्मिळ तज्ज्ञ निष्कर्षांसाठीच्या स्थिर बाजाराऐवजी, संस्था AI-वर्धित शोधाच्या लाटा अनुभवू शकतात: प्रथम मुबलकता, मग स्पष्ट लक्ष्यांचा ऱ्हास, आणि नंतर अधिक खोलवर जाऊ शकणाऱ्या संशोधकांसाठी स्पर्धा.

दरम्यान, कंपन्यांना आपली सध्याची सुरक्षा प्रक्रिया या वातावरणासाठी पुरेशी वेगवान आहे की नाही हे ठरवावे लागेल. असुरक्षा शोध आणि ती शोषणयोग्य होण्यामधला वेळ कमी होत गेल्यावर triage रांगा, पॅच विकास, खुलासा समन्वय आणि वापरकर्ता संवाद हे सर्व अधिक महत्त्वाचे ठरतात.

Photo: Jeff Pachoud/AFP
More in Culture

गेट्सपासून बफेटने अंतर ठेवले असल्याची बातमी अधिक खोल दरीकडे निर्देश करते

वॉरेन बफेट आणि बिल गेट्स यांच्यातील संपर्क तुटल्याची कथित घटना ही एपस्टीन-संबंधित परिणाम अजूनही उच्चभ्रू परोपकार, प्रतिमा आणि देणगीदार संबंधांना बदलत आहेत याचे ताजे लक्षण आहे.

Read article

सुरक्षा कार्यक्रमांना फक्त अधिक बजेट नव्हे, तर पुनर्रचना देखील लागेल

संभाव्य धडा असा आहे की संस्थांनी AI-सक्षम बग हंटिंगला साधी खर्चवाढ म्हणून पाहू नये. बक्षिसांसाठी अधिक पैसा मदत करू शकतो, पण intake, प्राधान्यक्रम ठरवणे आणि remediation जर धीम्या युगानुसारच जुळवलेले असतील, तर मूळ कार्यप्रवाह समस्या सुटणार नाही.

कार्यक्रमांना तीव्रतेची मर्यादा समायोजित करावी लागू शकते, पडताळणीचे काही भाग स्वयंचलित करावे लागू शकतात, खुलासा वेळापत्रकांचा पुनर्विचार करावा लागू शकतो, आणि उच्च-मूल्याच्या निष्कर्ष आणि सामान्य आवाज यांमध्ये अधिक स्पष्ट भेद करावा लागू शकतो. हे बदल सोपे नाहीत, विशेषतः कारण बग बाउंटी कार्यक्रमांना प्रतिष्ठेचे मूल्यही असते: संशोधकांनी त्यांना कार्यक्षम किंवा न्याय्य मानणे सोडले, तर सर्वोत्तम प्रतिभा इतरत्र वळू शकते.

  • AI प्रणाली सॉफ्टवेअर असुरक्षा शोधणे आणि एक्सप्लॉइट तयार करणे सोपे करत आहेत.
  • बग बाउंटी कार्यक्रमांमध्ये अधिक निष्कर्ष येत आहेत, ज्यामुळे देयके आणि triage अर्थशास्त्र बदलत आहे.
  • मोठ्या कंपन्यांच्या तुलनेत लहान संस्थांना वाढलेल्या देयक आणि triage भाराचा सामना करणे अधिक कठीण जाऊ शकते.
  • वेगवान एक्सप्लॉइट विकास पॅच टाइमलाइन आणि 90-दिवसांच्या खुलासा निकषांवर दबाव वाढवू शकतो.

मोठा मुद्दा सोपा आहे. AI सुरक्षा स्पर्धेच्या दोन्ही बाजूंना वेग देत आहे. सॉफ्टवेअर विक्रेत्यांसाठी प्रश्न आता असुरक्षा शोध वेगवान होईल का, हा नाही. ते आधीच झाले आहे. आता प्रश्न असा आहे की, मंद सुरक्षा अर्थव्यवस्थेसाठी उभारलेल्या संस्था हल्लेखोरांनी ती दरी वापरण्यापूर्वी जुळवून घेऊ शकतील का.

हा लेख Wired च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.

Originally published on wired.com