Hata ödül programlarıyla yazılım projeleri, güvenlik açıklarını bulup raporlamak ve gelir fırsatları yaratmak için harici BT araştırmacılarının ilgisini çekmek istiyor. Yapay zeka artık daha fazla güvenlik açığını çok daha hızlı keşfetmenize olanak tanıyor. Bu, çok sayıda rapor nedeniyle, hata ödül programlarının bir parçası olarak giderek daha fazla projenin bonus ödemeyi bırakmasına yol açıyor. Ödemelerin durdurulduğunu duyuran son proje ise Nextcloud oldu.
Duyurudan sonra devamını okuyun
Hata ödül platformu HackerOne Nextcloud artık program açıklamasını buna göre uyarladı. Çarşamba günkü güncelleme itibarıyla “Parasal Ödül Yok” başlığı altında “Nextcloud'un bu program aracılığıyla gönderilen güvenlik raporları için parasal ödül sağlamadığını lütfen unutmayın.”
Nextcloud, ciddiyeti ne olursa olsun yapay zeka tarafından oluşturulan çok sayıda yasa dışı raporla karşı karşıya kaldığı için ödemelerle ilgili hata ödül programını geçici olarak askıya aldığını belirtiyor. Ancak güvenliğe olan bağlılığımızı sürdürüyoruz ve araştırma topluluğuyla işbirliğimizi sürdürüyoruz. Geçerli raporlar yayınlandıktan sonra daha ayrıntılı olarak değerlendirilir, düzeltilir ve muhabirlere atfedilir, böylece muhabirlerin tanınmaya devam etmesi sağlanır.
Yapay zeka raporlarının miktarı ve kalitesi
Çok sayıda yapay zeka güvenlik raporunun ışığında Nextcloud, yalnızca muhabirlerin manuel olarak doğruladığı ve ekran görüntüleriyle destekleyebildiği raporları kabul ediyor. Gazetecilerin ilgilenmediği haberler göz ardı ediliyor ve spam olarak sınıflandırılıyor.
Mart ayının sonunda HackerOne “İnternet Bug Bounty” projesi ciddi bir adım atmak zorunda kaldı ve şu anda yeni teklifleri kabul etmiyor. Genellikle açık kaynaklı projeler için popüler bir hata ödül programıdır.
Elbette curl'un kurucusu ve baş geliştiricisi Daniel Stenberg'in de bu başlıktan eksik olmaması gerekiyor. Stenberg bir blog yazısında gerçekte var olan “yüksek kaliteli kaosa” değiniyor. Daha önce, kıvrılma hatası ödül programının yüksek frekanslı önemsiz raporlar göndermesine neden olan yapay zekanın yavaşlığından defalarca şikayet etmişti. Bu, başlangıçta Şubat ayında hata ödül programını tamamen durdurmasına, ancak GitHub'daki hata yönetiminin yetersiz olması nedeniyle HackerOne'a geri dönmesine neden oldu.
Stenberg artık sorunun artık yapay zeka sorunu olmadığını doğruluyor. Ancak hata raporlarının sayısı büyük oranda artıyor ve şimdiden 2025'teki oranın iki katına ulaştı. Kalite arttı. 2024'te doğrulama oranı yapay zeka öncesi seviyeyi bile aşacak – Stenberg bunun raporların en az %15-16'sı olduğunu yazıyor. Ancak yapay zekanın artık her ilişkiye dahil olduğunu ve bunun kelimelerin ve cümlelerin türüne göre anlaşılabileceğini ekliyor. Mastodon'da diğer açık kaynaklı projeler üzerinde yapılan hızlı bir arama, curl'un bu sorunu yaşayan tek proje olmadığını doğruladı; Apache httpd, Firefox, Linux Çekirdeği ve diğerleri gibi çok sayıda tanınmış ve büyük projeyi listeler.
Duyurudan sonra devamını okuyun
Düzeltilen güvenlik açıklarının sayısı da artacaktır. Stenberg, önümüzdeki hafta ortasında yayınlamayı planladığı curl 8.20.0'ın en az altı yeni güvenlik açığını giderdiğini duyurdu. Ancak bunun nereye varacağı belli değil. Güvenlik açıklarını bulmak için yapılan taramalarda olduğu gibi, raporların birkaç yıl içinde bir düzlüğe ulaşması mümkündür.
Böyle bir güvenlik açığı dalgası zaten yapay zeka ile tespit edildiğinden, Mythos gibi güvenlik açığı araştırmaları için yapay zekayı gizli tutmanın gerçekten mantıklı olup olmadığı sorusu ortaya çıkıyor. Görünüşe göre diğer AI geliştiricileri de çok geride değil.
(Bilmiyorum)
Bir yanıt yazın