हल्टक्विस्ट कहते हैं, “राष्ट्र राज्य के मुद्दे बहुत गंभीर और बहुत वास्तविक हैं, लेकिन आपराधिक अभिनेता अभी भी अधिकांश घटनाओं को अंजाम देते हैं जिनसे संगठन निपटते हैं और उनमें से कई घटनाएं काफी गंभीर हैं।” “आपराधिक अभिनेताओं द्वारा शून्य-दिवस का उपयोग काफी सीमित है, और जो लोग उनका उपयोग करते हैं वे वास्तव में सफल होते हैं, इसलिए मुझे लगता है कि हमें शून्य दिवस वाले अधिक अपराधियों के प्रभाव को कम नहीं आंकना चाहिए।”
हालाँकि, बग शिकार के माध्यम से पैसा कमाने वाले शोधकर्ताओं के लिए समय बदल रहा है। कमांड-लाइन टूल कर्ल ने एआई द्वारा उत्पन्न निम्न-गुणवत्ता वाले सबमिशन से भर जाने के बाद जनवरी में अपने बग बाउंटी प्रोग्राम (थर्ड-पार्टी सेवा हैकरवन के माध्यम से चलाया गया) को समाप्त कर दिया।
समूह ने उस समय लिखा था, “हमने कठिन तरीके से निष्कर्ष निकाला है कि बग बाउंटी लोगों को बुरे विश्वास में ‘समस्याएं’ ढूंढने और बनाने के लिए बहुत मजबूत प्रोत्साहन देता है जो अधिभार और दुरुपयोग का कारण बनता है,” हम अभी भी वैध भेद्यता रिपोर्ट की सराहना करते हैं और महत्व देते हैं।
पिछले हफ्ते, लिनक्स निर्माता और प्रमुख डेवलपर लिनस टोरवाल्ड्स ने लिखा था कि उच्च मात्रा और डुप्लिकेट एआई बग रिपोर्ट के कारण प्रसिद्ध लिनक्स सुरक्षा मेलिंग सूची “लगभग पूरी तरह से असहनीय” हो गई है।
हालांकि, अप्रैल में, कर्ल के संस्थापक और प्रमुख डेवलपर डैनियल स्टेनबर्ग ने एक लिंक्डइन पोस्ट में कहा कि सबमिशन की गुणवत्ता में सुधार हुआ है। उन्होंने लिखा, “पिछले कुछ महीनों में, हमें कर्ल प्रोजेक्ट में एआई स्लोप सुरक्षा रिपोर्ट मिलना बंद हो गया है।” “इसके बजाय हमें वास्तव में अच्छी सुरक्षा रिपोर्टों की बढ़ती मात्रा मिलती है, लगभग सभी एआई की मदद से की जाती हैं। वे पहले कभी नहीं देखी गई आवृत्ति में प्रस्तुत की जाती हैं और हमें गंभीर बोझ में डाल देती हैं।”
और अप्रैल के अंत में, Google ने घोषणा की कि वह क्रोम और एंड्रॉइड के लिए अपने भेद्यता पुरस्कार कार्यक्रमों में बदलाव कर रहा है और कुछ वर्गों के बग के लिए भुगतान कम कर रहा है, जबकि अन्य को बढ़ा रहा है।
कंपनी ने लिखा, “जैसे-जैसे एआई के साथ सुरक्षा अनुसंधान परिदृश्य विकसित हो रहा है, हम यह सुनिश्चित करने के लिए अपने कार्यक्रमों में बदलाव कर रहे हैं कि हम अपने उत्पादों में सबसे चुनौतीपूर्ण और प्रभावशाली कमजोरियों को पुरस्कृत कर रहे हैं।”
“मुझे लगता है कि विशेष कौशल वाले 90वें प्रतिशतक बग शिकारी हमेशा बड़ी कंपनियों से निष्कर्ष निकालने और भुगतान प्राप्त करने में सक्षम होंगे,” जोनाथन डन, एक हृदय रोग विशेषज्ञ और एक बग बाउंटी शिकारी भी कहते हैं। “लेकिन एआई के साथ भी, हमें सार्वजनिक बुनियादी ढांचे और अन्य महत्वपूर्ण प्रणालियों पर सामग्री खोजने के लिए नैतिक शोधकर्ताओं को भारी प्रोत्साहन देने की भी आवश्यकता है, अन्यथा रक्षकों से पर्याप्त ध्यान नहीं मिल सकता है।”
अभी के लिए, अधिकांश संगठन त्वरित बग खोज की समस्या (और लाभ) के लिए हर वह समाधान देने के लिए तैयार दिखते हैं जिसके बारे में वे सोच सकते हैं। क्लाउड सुरक्षा फर्म एडेरा के मुख्य प्रौद्योगिकी अधिकारी एलेक्स ज़ेनला कहते हैं, “यह बग-शिकार उद्योग की गतिशीलता को बदल रहा है, लेकिन इसके लिए अभी भी मानव समय की आवश्यकता है।”
इस महीने की शुरुआत में, एंथ्रोपिक ने शोधकर्ताओं के लिए कंपनी के अपने सिस्टम और क्लाउड एआई मॉडल पर निष्कर्ष प्रस्तुत करने के लिए एक हैकरवन बग बाउंटी लॉन्च किया था। हालाँकि, कुछ शोधकर्ताओं का तर्क है कि तेजी से बढ़ती भेद्यता खोज को संबोधित करने के लिए संरचनात्मक सुरक्षा आवश्यक है। दूसरे शब्दों में, वे विभिन्न वर्गों की कमजोरियों के लिए डिजिटल समाधान तैयार कर रहे हैं जो उन्हें खत्म करते हैं या व्यवहार में उन्हें काफी कम शोषक बनाते हैं।
लंबे समय से सुरक्षा इंजीनियर और शोधकर्ता नील्स प्रोवोस कहते हैं, ”आप इससे बाहर नहीं निकल सकते।” “आपको ऐसे बुनियादी ढांचे का निर्माण करने की आवश्यकता है जो यथासंभव अधिक से अधिक बग को अप्रासंगिक बना दे।”
