“Los problemas de los Estados nacionales son muy serios y muy reales, pero los actores criminales aún representan la gran mayoría de los incidentes que enfrentan las organizaciones y muchos de esos incidentes son bastante graves”, agrega Hultquist. «El uso de día cero por parte de actores criminales ha sido bastante limitado, y aquellos que los usan tienden a tener mucho éxito, por lo que creo que no deberíamos subestimar el impacto de más delincuentes con un día cero en sus manos».
Sin embargo, para los investigadores que ganan dinero mediante la búsqueda de errores, los tiempos están cambiando. La herramienta de línea de comandos Curl finalizó su programa de recompensas por errores (ejecutado a través del servicio de terceros HackerOne) en enero después de verse inundado con envíos de baja calidad generados por IA.
«Hemos llegado a la dura conclusión de que una recompensa por errores ofrece a las personas incentivos demasiado fuertes para encontrar e inventar ‘problemas’ de mala fe que causan sobrecarga y abuso», escribió el grupo en ese momento, y agregó que «todavía apreciamos y valoramos los informes de vulnerabilidad válidos».
La semana pasada, el creador y desarrollador principal de Linux, Linus Torvalds, escribió que la famosa lista de correo de seguridad de Linux se ha vuelto “casi completamente inmanejable” debido al gran volumen y a los informes de errores de IA duplicados.
Sin embargo, en abril, Daniel Stenberg, fundador y desarrollador principal de Curl, dijo en una publicación de LinkedIn que la calidad de los envíos había mejorado. «En los últimos meses, hemos dejado de recibir informes de seguridad de IA en el proyecto curl», escribió. «En cambio, recibimos una cantidad cada vez mayor de informes de seguridad realmente buenos, casi todos elaborados con la ayuda de IA. Se envían con una frecuencia nunca antes vista y nos ponen bajo una gran carga».
Y a finales de abril, Google anunció que estaba revisando sus programas de recompensa por vulnerabilidades para Chrome y Android y reduciendo los pagos por algunas clases de errores, mientras aumentaba otros.
«A medida que el panorama de la investigación de seguridad evoluciona con la IA, estamos realizando cambios en nuestros programas para asegurarnos de recompensar las vulnerabilidades más desafiantes e impactantes de nuestros productos», escribió la compañía.
«Creo que los cazadores de errores del percentil 90 con habilidades especiales siempre podrán encontrar hallazgos y recibir pagos de las grandes empresas», dice Jonathan Dunn, un cardiólogo que también es un cazador de recompensas. «Pero incluso con la IA, también necesitamos incentivar fuertemente a los investigadores éticos para que encuentren cosas en la infraestructura pública y otros sistemas críticos que de otro modo no recibirían suficiente atención por parte de los defensores».
Por ahora, la mayoría de las organizaciones parecen dispuestas a lanzar todas las soluciones que puedan imaginar al problema (y beneficio) del descubrimiento acelerado de errores. «Esto está cambiando la dinámica de la industria de la búsqueda de errores, pero todavía requiere tiempo humano», dice Alex Zenla, director de tecnología de la firma de seguridad en la nube Edera.
A principios de este mes, Anthropic lanzó una recompensa por errores de HackerOne para que los investigadores envíen sus hallazgos sobre los propios sistemas de la compañía y los modelos de Claude AI. Sin embargo, algunos investigadores sostienen cada vez más que las defensas estructurales son necesarias para abordar el acelerado descubrimiento de vulnerabilidades. En otras palabras, están diseñando soluciones digitales para diferentes clases de vulnerabilidades que las eliminan o las hacen significativamente menos explotables en la práctica.
«No se puede salir de esto con parches», dice Niels Provos, ingeniero e investigador de seguridad desde hace mucho tiempo. «Es necesario construir una infraestructura que haga irrelevantes tantos errores como sea posible».
