Разработчики проектов с открытым исходным кодом традиционно приветствуют помощь сообщества в выявлении уязвимостей. Для стимуляции внимательного поиска багов многие популярные утилиты и программы открывают собственные программы вознаграждений (bug bounty). Однако растущая популярность генеративного искусственного интеллекта кардинально меняет ландшафт кибербезопасности — не всегда к лучшему. Руководитель проекта Curl Даниэль Стенберг публично заявил о необходимости возможного пересмотра программы багбаунти, вызванного всплеском низкопробных и ложных отчетов как от людей, так и от ИИ. Curl — это известная командная утилита для передачи данных по многим протоколам, используемая миллионами по всему миру, а значит, безопасность и надежность продукта имеют первостепенное значение.
Стенберг рассказал, что с начала 2024 года команда сталкивается с накалом так называемого «ИИ-слюнявого» контента — жалоб и отчетов, созданных генеративным ИИ или людьми, которые используют ИИ для составления публикаций, однако качество таких отчетов зачастую крайне низкое и дезинформирующее. Изначально такие отчеты могли занимать лишь небольшой процент от общего числа баг-репортов, но к 2025 году их количество выросло до примерно 20 процентов всех поступающих сообщений. При этом истинно полезных и серьезных уязвимостей среди них всего около 5 процентов. Для разработчиков Curl это стало настоящим вызовом, ведь в среднем в неделю им приходится рассматривать около двух новых сообщений о безопасности. На первый взгляд такая цифра кажется небольшой, но на самом деле команда состоит всего из семи человек, и каждый баг-репорт требует внимания нескольких экспертов.
Процесс проверки может занимать от получаса до нескольких часов, что уже стало тяжелым эмоциональным и временным бременем. Стенберг откровенно описал, что они тратят немалое количество времени на выявление ложных и нерелевантных сообщений, теряя драгоценные часы, которые могли бы идти на исправление действительных проблем. Помимо количества, косвенно страдает и качество среды для реальных исследователей безопасности и разработчиков. Рост объема низкокачественных подач создает моральное выгорание, а также затрудняет выявление реальных багов, поскольку на их фоне они теряются. В качестве меры противодействия изначально был введен простой регламент, обязывающий баг-репортеров сообщать о применении генеративного ИИ при составлении отчета.
Однако практика показала, что этого недостаточно. Сейчас идет активное обсуждение и пересмотр программы багбаунти Curl, включая варианты отмены выплаты вознаграждений или введения дополнительного барьера для подачи отчетов, например оплаты за рассмотрение. Тем не менее Стенберг отмечает, что простое исключение денежного поощрения едва ли остановит поток некачественных сообщений, поскольку многие пользователи искренне считают, что помогают проекту, даже если на самом деле отправляют «ИИ-слюнявый» мусор. Аналогичные проблемы наблюдаются и в других масштабных проектах с открытым исходным кодом. Например, Python Software Foundation и платформа Open Collective также столкнулись с аналогичными волнениями и наплывом бесполезных отчетов, что приводит к необходимости ужесточения контроля качества и правил приема сообщений.
Сообщество специалистов по информационной безопасности всё чаще поднимает вопрос о необходимости интеграции механизмов более строгой проверки подающих информацию, что может стать серьезным препятствием для начинающих исследователей и энтузиастов, желающих внести свой вклад. Кроме того, перед платформами по приему баг-репортов, такими как HackerOne, стоит сложный выбор — как сбалансировать требования к качеству и прозрачности с сохранением доступности для широкого круга пользователей? Учесть интересы разработчиков, экспертов и новичков одновременно крайне сложно. Кроме того, необходимость постоянной проверки степени участия ИИ в подготовке сообщений создает дополнительную нагрузку на персонал и ограничивает скорость реагирования. В конечном итоге, вопрос сводится к поиску оптимального баланса между эффективной защитой программного обеспечения и открытостью процесса нахождения уязвимостей. Curl, как один из ключевых инструментов в мире сетевых технологий, становится показательной площадкой для этой дискуссии.
Опыт Stenberg и команды по борьбе с «ИИ-слюнявым» контентом подчеркивает сложность адаптации традиционных методов обеспечения безопасности к новым реалиям эпохи искусственного интеллекта. Возможно, необходимы новые подходы к аутентификации и подтверждению качества отчетов, внедрение продвинутых систем фильтрации и автоматизации, а также усиление квалификации экспертов, способных отличить реальные уязвимости от порождения ИИ. Без этих изменений лагерю разработчиков и исследователей угроз грозит рост неэффективности, усталость и снижение привлекательности платформ багбаунти. Появляется большая неопределенность в том, смогут ли коллективные усилия сообщества по обеспечению безопасности программного обеспечения оставаться продуктивными в условиях распространения низкокачественного автоматизированного контента. Стенберг и коллеги призывают к более осознанному использованию искусственного интеллекта при создании отчетов и поиске багов — рекомендовано лично перепроверять информацию, не слепо доверять выводам ИИ и сохранять высокий стандарт качества.
Эта ситуация также служит сигналом всем проектам и платформам, вовлеченным в процессы краудсорсингового тестирования, чтобы пересмотреть свои политики и адаптировать их для нового технологического уклада. По мере роста влияния ИИ и его интеграции в разные сферы, борьба с его негативными проявлениями становится критически важной задачей для индустрии кибербезопасности. Curl продолжит играть важную роль в этом процессе, демонстрируя урегулирование противоречий между инновациями и ответственным подходом к безопасности. Таким образом, вызовы, стоящие перед командой Curl, отражают глобальные трансформационные процессы, происходящие в мире технологий, подчеркивая необходимость постоянного обновления и адаптации методов противодействия киберугрозам, чтобы сохранить целостность и надежность современных программных продуктов.
