"Los problemas de los estados nacionales son muy graves y muy reales, pero los actores criminales todavía constituyen la gran mayoría de los incidentes que tratan a las organizaciones y muchos de estos incidentes son bastante graves", añade Hultquist. "El uso del día cero por parte de los actores criminales ha sido bastante limitado, y los que los utilizan tienden a tener éxito, así que creo que no debemos subestimar el impacto de más delincuentes con un día cero en sus manos".
Sin embargo, para los investigadores que ganan dinero mediante la caza de errores, los tiempos están cambiando. La herramienta de línea de comandos Curl terminó su programa de recompensas de errores (ejecutado a través del servicio de terceros HackerOne) en enero después de haber sido inundada con envíos de baja calidad generados por AI.
"Hemos concluido de la forma más difícil que una recompensa de errores da a la gente incentivos demasiado fuertes para encontrar y solucionar "problemas" de mala fe que causan sobrecarga y abuso", escribió el grupo entonces, y añadió que "aún agradecemos y valoramos los informes de vulnerabilidad válidos".
La semana pasada, el creador de Linux y desarrollador principal Linus Torvalds escribió que la famosa lista de correo de seguridad de Linux se ha vuelto "casi totalmente inmanejable" debido al alto volumen y los informes de errores duplicados de IA.
Sin embargo, en abril Daniel Stenberg, el fundador y desarrollador principal de Curl, dijo en una publicación de LinkedIn que la calidad de las presentaciones había mejorado. "Durante los últimos meses, hemos dejado de recibir informes de seguridad de pendientes de IA en el proyecto curl", escribió. "En vez de eso, recibimos una cantidad cada vez mayor de informes de seguridad muy buenos, casi todos hechos con la ayuda de la IA. Se envían con una frecuencia nunca vista y nos ponen una gran carga".
Y a finales de abril, Google anunció que estaba revisando sus programas de recompensas para vulnerabilidades para Chrome y Android y que reducía los pagos por algunas clases de errores, mientras que aumentaba otras.
"A medida que el panorama de la investigación de seguridad evoluciona con la IA, estamos haciendo cambios en nuestros programas para asegurarnos de que premiamos las vulnerabilidades más difíciles e impactantes de nuestros productos", escribió la compañía.
"Creo que los cazadores de errores del percentil 90 con habilidades especiales siempre podrán obtener resultados y obtener pagos de grandes empresas", dice Jonathan Dunn, un cardiólogo que es también un cazador de recompensas de errores. "Pero incluso con la IA, también debemos incentivar fuertemente a los investigadores éticos para que encuentren cosas sobre la infraestructura pública y otros sistemas críticos que, de otra forma, quizá no reciban suficientemente la atención de los defensores".
Por el momento, la mayoría de las organizaciones parecen dispuestas a lanzar todas las soluciones que puedan pensar en el problema (y beneficio) del descubrimiento acelerado de errores. "Esto está cambiando la dinámica de la industria de la búsqueda de errores, pero todavía requiere tiempo humano", dice Alex Zenla, director de tecnología de la firma de seguridad en la nube Edera.
A principios de ese mes, Anthropic lanzó una recompensa de errores HackerOne para que los investigadores envíen conclusiones sobre los sistemas propios de la compañía y los modelos Claude AI. Sin embargo, cada vez más algunos investigadores argumentan que las defensas estructurales son necesarias para abordar la aceleración del descubrimiento de la vulnerabilidad. En otras palabras, están diseñando soluciones digitales para diferentes clases de vulnerabilidades que las eliminan o hacen significativamente menos explotables en la práctica.
"No se puede arreglar para salir de esto", dice el ingeniero de seguridad e investigador de larga fecha Niels Provos. "Hay que crear una infraestructura que haga irrelevante tantos errores como sea posible".
El director de Tekken, Katsuhiro Harada, finalmente encontró una casa de gofres
Una sonda hizo imágenes increíbles de Marte en su camino hacia un asteroide lejano
El actor malo de Mandalorian y Grogu Imperial Jonny Coyne dice que su nombre secreto de Star Wars surgió de una forma muy sencilla y que sólo tuvo 2 horas para leer el guión.
30% de descuento en códigos promocionales de Canon | mayo de 2026
Yujiro Hanma es el último personaje de la temporada 3 de Tekken 8
Se suponía que Skeletor llevaba una "máscara de oro" en Masters of the Universe. Entonces apareció Travis Knight.
Subir
Deja una respuesta