Hata ödül programlarıyla yazılım projeleri, güvenlik açıklarını bulup raporlamak ve gelir fırsatları yaratmak için harici BT araştırmacılarının ilgisini çekmek istiyor. Yapay zeka artık daha fazla güvenlik açığının çok daha hızlı bir şekilde ortaya çıkarılmasını mümkün kılıyor. Bu durum, çok sayıda rapor nedeniyle, hata ödül programlarının bir parçası olarak giderek daha fazla projenin bonus ödemeyi bırakmasına yol açıyor. Ödemelerin durdurulduğunu duyuran son proje ise Nextcloud oldu.
Reklamdan sonra devamını okuyun
Hata ödül platformu HackerOne'da Nextcloud, programın açıklamasını buna göre uyarladı. Çarşamba günkü güncelleme itibarıyla “Parasal Ödül Yok” başlığı altında “Nextcloud'un bu program aracılığıyla gönderilen güvenlik raporları için parasal ödül sağlamadığını lütfen unutmayın.”
Nextcloud, ciddiyeti ne olursa olsun yapay zeka tarafından oluşturulan çok sayıda yasa dışı raporla karşı karşıya kaldıkları için hata ödül programını ödemelerle birlikte geçici olarak askıya aldıklarını belirtiyor. Ancak güvenliğe olan bağlılığımızı sürdürüyoruz ve araştırma topluluğuyla birlikte çalışmaya devam ediyoruz. Geçerli raporlar yayınlandıktan sonra daha ayrıntılı olarak değerlendirilir, düzeltilir ve muhabirlere atfedilir, böylece muhabirlerin tanınmaya devam etmesi sağlanır.
Yapay zeka raporlarının miktarı ve kalitesi
Çok sayıda AI güvenlik raporu göz önüne alındığında Nextcloud, yalnızca muhabirlerin manuel olarak doğruladığı ve ekran görüntüleri ile destekleyebildiği raporları kabul eder. Muhabirlerin üzerinde hiçbir çaba göstermediği raporlar göz ardı ediliyor ve spam olarak sınıflandırılıyor.
Mart ayı sonunda HackerOne projesi “İnternet Bug Bounty” sert bir adım atmak zorunda kaldı ve şu anda yeni başvuru kabul etmiyor. Genellikle açık kaynaklı projeler için popüler bir hata ödül programıdır.
Elbette curl kurucusu ve ana geliştiricisi Daniel Stenberg'in de bu konunun eksik olmaması gerekiyor. Stenberg bir blog yazısında gerçekte var olan “yüksek kaliteli kaosa” değiniyor. Daha önce de yapay zekanın yavaşlamasından dolayı tekrar tekrar şikayette bulunmuştu, bu da kıvrılma hatası ödül programına yüksek frekanslı çöp raporlarının gönderilmesine yol açmıştı. Bu onun ilk olarak Şubat ayında hata ödül programını tamamen bırakmasına, ancak daha sonra GitHub'daki hata yönetiminin yetersiz olması nedeniyle HackerOne'a geri dönmesine yol açtı.
Stenberg artık yapay zekanın yavaşlamasının artık sorun olmadığını doğruluyor. Ancak hata raporlarının sayısı hızla artıyor ve şimdiden 2025'teki oranın iki katına ulaştı. Kalite arttı. Onay oranı 2024'te yapay zeka öncesi seviyeyi bile aşacak – Stenberg bunun raporların en az yüzde 15 ila 16'sı olduğunu yazıyor. Ancak artık yapay zekanın her rapora dahil olduğunu ekliyor ve bunu ifadelerin ve ifadelerin türüne göre anlayabilirsiniz. Mastodon'da diğer açık kaynaklı projeler üzerinde yapılan hızlı bir arama, curl'un bu sorunu yaşayan tek proje olmadığını doğruladı; Apache httpd, Firefox, Linux Çekirdeği ve diğerleri gibi çok sayıda tanınmış ve büyük projeyi listeler.
Reklamdan sonra devamını okuyun
Düzeltilen güvenlik açıklarının sayısı da artacaktır. Stenberg, önümüzdeki haftanın ortasında yayınlamayı planladığı curl 8.20.0'ın en az altı yeni güvenlik açığını düzelttiğini duyurdu. Ancak bunun sonunun nereye varacağı henüz bilinmiyor. Güvenlik açıklarını bulmak için yapılan taramalarda olduğu gibi, raporların birkaç yıl içinde bir düzlüğe ulaşması mümkün olabilir.
Yapay zekada bu kadar çok sayıda güvenlik açığı zaten bulunduğundan, Mythos gibi güvenlik açığı arama yapay zekasını gizli tutmanın gerçekten mantıklı olup olmadığı sorusu ortaya çıkıyor. Görünüşe göre diğer yapay zeka geliştiricileri de çok geride değil.
(DMK)
Bir yanıt yazın