O mercado de vulnerabilidades está entrando em uma nova fase

A inteligência artificial não está apenas mudando a forma como o software é construído. Ela também está mudando como o software falha, com que rapidez essas fraquezas são encontradas e quanto as empresas podem ter de pagar para saber delas primeiro. Segundo a reportagem da Wired, a descoberta de vulnerabilidades impulsionada por IA está começando a inundar os programas de bug bounty, criando uma nova pressão econômica e operacional em todo o ecossistema de segurança de software.

Isso importa porque os programas de bug bounty se tornaram uma das pontes mais importantes entre pesquisadores independentes de segurança e grandes empresas de tecnologia. Em vez de tratar pesquisadores externos como adversários, as empresas passaram a pagar cada vez mais para que divulgassem vulnerabilidades de forma responsável. Agora esse sistema está sendo testado em escala.

Mais bugs, mais envios, mais pressão

A mudança central é simples: os modelos de IA agentiva estão se tornando mais capazes de identificar vulnerabilidades de forma autônoma e desenvolver exploits. Em termos práticos, isso significa que mais fraquezas podem ser encontradas mais rápido, e por mais pessoas. O resultado, como descrito no texto de origem, é uma explosão de envios para programas de divulgação de vulnerabilidades e de recompensa ao mesmo tempo em que as organizações também estão encontrando mais bugs internamente.

O pesquisador independente Joseph Thacker disse à Wired que havia enviado cerca de três vezes mais bugs do que no mesmo ponto do ano anterior e especulou que uma empresa como o Google poderia acabar gastando de duas a dez vezes mais em pagamentos do que no ano passado. Mesmo que essa projeção exata não se confirme, a direção da mudança é clara: a antiga relação entre esforço do pesquisador, escassez de bugs e tamanho da recompensa está sendo rompida.

Grandes empresas de tecnologia talvez consigam absorver essa pressão. Organizações menores podem não conseguir. Se os programas de recompensa forem inundados por achados de gravidade baixa e média que sistemas de IA conseguem descobrir em escala, as filas de triagem crescem, as equipes de resposta ficam sobrecarregadas e as estruturas de pagamento podem precisar mudar.

Charities decry UK plan to use AI to assess age of young asylum seekers
More in Culture

Verificações de idade com IA para requerentes de asilo no Reino Unido enfrentam reação de grupos de refugiados infantis

Mais de 100 organizações alertam que o uso britânico de estimativa facial de idade por IA em requerentes de asilo pode classificar erroneamente crianças como adultas.

Read article

Atacantes estão se movendo ao mesmo tempo que os defensores

Esta não é apenas uma história sobre defesa mais eficiente. As mesmas ferramentas que ajudam pesquisadores éticos a encontrar vulnerabilidades também podem ajudar atacantes a desenvolver exploits. Essa simetria é uma das razões pelas quais a mudança é mais séria do que um aumento temporário no volume de envios.

O texto de origem descreve a área como mudando em sintonia para os atacantes. Se o desenvolvimento de exploits acelerar, as premissas confortáveis que antes sustentavam as normas de divulgação podem se desgastar. Em particular, as janelas de divulgação de 90 dias, há muito estabelecidas, podem sofrer pressão se as empresas acreditarem que os atacantes conseguem transformar falhas em armas mais rapidamente do que antes.

O pesquisador de segurança Himanshu Anand, citado no artigo, argumentou que a janela de divulgação responsável de 90 dias foi criada para um mundo em que os descobridores de bugs eram raros e o desenvolvimento de exploits era lento. A afirmação captura o problema estrutural. A política de divulgação é baseada no ritmo de descoberta e exploração. Se a IA muda ambos, a estrutura de política pode deixar de corresponder à realidade.

A abundância atual pode não durar para sempre

Um dos pontos mais interessantes da reportagem é que o boom atual de recompensas pode ser transitório. Thacker sugeriu que, no momento, os pesquisadores estão colhendo vulnerabilidades acessíveis, mas que no próximo ano menos bugs podem ser enviados porque boa parte desse terreno mais fácil já terá sido coberta. Se isso acontecer, as empresas podem enfrentar um ciclo em que os pagamentos sobem agora e depois talvez precisem subir novamente para atrair atenção para classes mais difíceis de falhas.

Isso representaria uma grande mudança na economia dos bug bounty. Em vez de mercados estáveis para descobertas especializadas e raras, as organizações podem enfrentar ondas de descoberta amplificadas por IA: primeiro abundância, depois esgotamento dos alvos óbvios e, então, competição por pesquisadores capazes de ir mais fundo.

Enquanto isso, as empresas precisam decidir se seus processos de segurança atuais são rápidos o suficiente para esse ambiente. Filas de triagem, desenvolvimento de patches, coordenação de divulgação e comunicação com usuários se tornam ainda mais importantes quando o tempo entre a descoberta da vulnerabilidade e sua explorabilidade diminui.

This model is not a real person: how AI is changing online shopping – video
More in Culture

Modelos de moda gerados por IA testam novas regras de confiança no varejo online

Modelos gerados por IA estão entrando no e-commerce de moda, levantando questões sobre divulgação, realismo e até que ponto a apresentação digital deve influenciar as decisões de compra.

Read article

Programas de segurança podem precisar de redesenho, não apenas de mais orçamento

A lição provável é que as organizações não podem tratar a caça a bugs habilitada por IA como um simples aumento de custo. Mais dinheiro para recompensas pode ajudar, mas não resolverá o problema de fluxo de trabalho se a entrada, a priorização e a correção continuarem calibradas para uma era mais lenta.

Os programas talvez precisem ajustar limiares de gravidade, automatizar partes da validação, repensar prazos de divulgação e distinguir com mais nitidez entre achados de alto valor e ruído comum. Nenhuma dessas mudanças é fácil, especialmente porque os programas de recompensa também têm valor de reputação: se os pesquisadores deixarem de vê-los como eficientes ou justos, os melhores talentos podem redirecionar seu esforço para outro lugar.

  • Sistemas de IA estão tornando mais fácil encontrar vulnerabilidades de software e gerar exploits.
  • Os programas de bug bounty estão recebendo mais achados, mudando a economia de pagamentos e triagem.
  • Empresas menores podem ter mais dificuldade do que gigantes de tecnologia para absorver a pressão crescente de pagamentos e triagem.
  • O desenvolvimento mais rápido de exploits pode aumentar a pressão sobre prazos de correção e normas de divulgação de 90 dias.

O ponto mais amplo é simples. A IA está acelerando os dois lados da disputa de segurança. Para os fornecedores de software, a questão já não é se a descoberta de vulnerabilidades vai acelerar. Isso já aconteceu. A questão agora é se as instituições criadas para uma economia de segurança mais lenta conseguem se adaptar antes que atacantes explorem a lacuna.

Este artigo é baseado em reportagem da Wired. Leia o artigo original.

Originally published on wired.com