فيضانات برامج مكافأة الثغرات بواسطة الذكاء الاصطناعي مع معاناة الشركات من تقارير مزيفة

باختصار

* الشركات التي تدير برامج مكافأة الثغرات تُبلغ عن زيادة حادة في الطلبات منخفضة الجودة التي تولدها الذكاء الاصطناعي.
* كل من HackerOne و Nextcloud علّقا برامج مكافأة الثغرات بعد موجات من التقارير المزيفة.
* تقول شركات الأمن السيبراني إن أدوات الذكاء الاصطناعي تُغير طريقة البحث عن الثغرات من خلال تسهيل تقديم التقارير على نطاق واسع.

الذكاء الاصطناعي يخلق صداعًا جديدًا للشركات التي تعتمد على برامج مكافأة الثغرات للكشف عن ثغرات البرمجيات.
تتعامل شركات الأمن السيبراني ومشاريع البرمجيات مفتوحة المصدر مع زيادة في تقارير الثغرات التي يولدها الذكاء الاصطناعي، والكثير منها كاذب أو مضلل. وفقًا لتقرير من Financial Times، فإن العدد المتزايد من الطلبات منخفضة الجودة يجبر بعض المؤسسات على إيقاف برامج مكافأة الثغرات حيث يقضي فرق الأمان وقتًا أكثر في فرز الثغرات الحقيقية من الرسائل المزعجة.
كما أصبحت مكافآت الثغرات تجارة كبيرة، حيث دفعت شركات مثل Meta و Microsoft و Apple و Crypto.com ما لا يقل عن 58 مليون دولار في عام 2025 للباحثين الذين يكتشفون عيوب البرمجيات قبل أن يفعلها القراصنة.

ومع ذلك، فإن أدوات الذكاء الاصطناعي التوليدية تجعل من السهل أيضًا استغلال برامج مكافأة الثغرات من خلال إنتاج كميات كبيرة من تقارير الثغرات غير الدقيقة أو منخفضة الجودة على نطاق واسع.

وفقًا لشركة Bugcrowd التي تتخذ من سان فرانسيسكو مقرًا لها، فإن التقارير المقدمة عبر منصتها تضاعفت أكثر من أربع مرات خلال ثلاثة أسابيع في مارس. وقالت الشركة، التي تشمل عملاءها مطور ChatGPT، OpenAI، إن معظم التقارير كانت مزيفة.
نظرًا لفيض التقارير التي يولدها الذكاء الاصطناعي، بدأت بعض الشركات بالفعل في تقليل برامج المكافآت العامة الخاصة بها.

“مكافآت الثغرات ستظل موجودة [but]، سيتعين عليها أن تتغير،” قال روس مكيرتشار، رئيس أمن المعلومات في شركة Sophos للأمن السيبراني، لصحيفة Financial Times.
في أبريل، علّقت منصة الأمن السيبراني HackerOne ومنصة الاستضافة Nextcloud كلاهما برنامجهما المدفوع لمكافأة الثغرات، مع إضافة Nextcloud أن “لا جوائز مالية ستُمنح لأي طلبات، بغض النظر عن خطورتها.”
“كما تعلمون، هذه مشكلة على مستوى الصناعة بأكملها، وكغيرها، لم نتمكن من إيجاد طرق للتعامل بمسؤولية مع الزيادة الهائلة في التقارير منخفضة الجودة،” كتب Nextcloud. “نأمل أن نتمكن من إعادة تشغيل البرنامج بمجرد العثور على نهج موثوق به لفرز التقارير ذات الجهد المنخفض.”
تأتي أخبار مكافأة الثغرات مع تزايد قدرة نماذج الذكاء الاصطناعي على اكتشاف الثغرات. في مارس، قدمت شركة Anthropic نموذج Mythos، وهو نموذج ذكاء اصطناعي يركز على الأمن السيبراني، تقول الشركة إنه يمكنه تحديد الثغرات بشكل أسرع من البشر. الشركة تحتفظ حاليًا بالنموذج بشكل سري، وتسمح فقط لعملاق التكنولوجيا، وشركات الأمن، والحكومات بالوصول إليه.
في أبريل، حدد Claude Mythos 271 ثغرة في متصفح Mozilla Firefox خلال الاختبار الداخلي، بينما قال باحثو الأمن في وقت سابق من هذا الشهر إن نسخة معاينة من النموذج ساعدت في تطوير استغلال يستهدف شرائح M5 من Apple.
لا يعتقد مستخدمو منصة Myriad، وهي سوق تنبؤات تديرها شركة Dastan، الشركة الأم لـ Decrypt، أن يتم إصدار Claude Mythos للجمهور بحلول نهاية يونيو، حيث يقدرون فرص إصداره بنسبة 18% فقط.