Chi hàng chục triệu USD để vá lỗi, các ông lớn công nghệ "ngã ngửa" khi bị nhấn chìm trong biển báo cáo rác từ AI
Với sự phát triển của AI, nhiều hacker “mũ trắng” chỉ thả một con bot lên Internet rồi gửi báo cáo rác hàng loạt hòng chiếm đoạt quỹ thưởng triệu USD.
Từng là mô hình "đôi bên cùng có lợi" giúp các tập đoàn công nghệ lớn vá lỗ hổng hệ thống với chi phí tối ưu, các chương trình săn lỗi nhận thưởng (bug bounty) giờ đây đang đứng trước nguy cơ đổ vỡ vì làn sóng báo cáo chất lượng thấp được tạo ra hàng loạt bởi trí tuệ nhân tạo.
Khi "mỏ vàng" của các hacker thiện chí bị nghẽn vì rác công nghệ
Nhiều năm qua, các chương trình săn lỗi nhận thưởng đã trở thành một phần không thể thiếu trong chiến lược bảo mật của các doanh nghiệp từ lớn đến nhỏ.
Bằng cách treo những khoản thưởng hấp dẫn, từ vài nghìn đến hàng trăm nghìn USD, các ông lớn công nghệ đã huy động được trí tuệ của mạng lưới hacker mũ trắng toàn cầu để tìm ra những lỗ hổng nguy hiểm trước khi chúng bị những kẻ tấn công khai thác.
Thế nhưng, sự bùng nổ của các công cụ trí tuệ nhân tạo tạo sinh đang đảo lộn hoàn toàn cuộc chơi này, biến một hệ thống hiệu quả thành một bãi chiến trường ngập tràn "rác AI".
Thay vì nhận được những báo cáo chất lượng cao, chỉ ra đúng lỗ hổng cốt lõi, các doanh nghiệp vận hành chương trình bug bounty đang bị quá tải bởi hàng loạt hồ sơ rác, thiếu chính xác nhưng lại được viết cực kỳ chuyên nghiệp nhờ AI.
Nền tảng bảo mật Bugcrowd, nơi quản lý chương trình săn lỗi cho các khách hàng lớn như OpenAI, T-Mobile và Motorola, cho biết số lượng báo cáo họ nhận được đã tăng gấp hơn bốn lần chỉ trong vòng ba tuần hồi tháng 3 năm nay, với phần lớn trong số đó là báo cáo sai sự thật.
Tình hình nghiêm trọng đến mức một số tổ chức đã phải bấm nút tạm dừng cuộc chơi. Curl, một công cụ truyền dữ liệu mã nguồn mở cực kỳ phổ biến trên Internet, đã quyết định đình chỉ chương trình bug bounty có trả thưởng của mình.
Cha đẻ của Curl, ông Daniel Stenberg, chia sẻ trên blog cá nhân rằng làn sóng "rác AI" không hồi kết này không chỉ làm tiêu tốn rất nhiều thời gian để đối chất, xác minh mà còn gây ra những áp lực tinh thần cực kỳ nặng nề cho đội ngũ quản trị.
Đồng cảnh ngộ, tập đoàn phần mềm Nextcloud cũng đã phải tạm dừng chương trình săn lỗi của mình để tìm kiếm giải pháp lọc báo cáo hiệu quả hơn trước khi có thể mở lại.
Sự phát triển vượt bậc của AI tạo sinh đang định hình lại bài toán kinh tế của giới bảo mật. Một mặt, công nghệ giúp các nhà nghiên cứu giàu kinh nghiệm phát hiện lỗ hổng nhanh hơn. Mặt khác, nó lại hạ thấp rào cản gia nhập xuống mức gần như bằng không, kích hoạt một làn sóng gửi báo cáo tự động và sai lệch mà các doanh nghiệp buộc phải căng mình ra sàng lọc.
Theo phân tích từ ông Ross McKerchar, Giám đốc An ninh Thông tin tại tập đoàn bảo mật Sophos, làn sóng báo cáo kém chất lượng này đến từ ba nhóm đối tượng chính.
Nhóm đầu tiên là những người nghiệp dư, những người lần đầu tiên cố gắng tìm lỗi bảo mật bằng cách sao chép các đoạn mã vào ChatGPT rồi gửi đi bất cứ thứ gì mà công cụ này trả về mà không hề có sự kiểm chứng thực tế. Nhóm thứ hai là các nhà nghiên cứu có kinh nghiệm nhưng đôi khi lại quá tin tưởng và bị dẫn dắt bởi các trợ lý AI, dẫn đến việc gửi đi các nhận định sai lầm.
Tuy nhiên, đáng lo ngại nhất là nhóm thứ ba, những lập trình viên AI lão luyện. Nhóm này đã tự xây dựng các hệ thống quét và gửi báo cáo tự động từ đầu đến cuối. Họ thả các bot tự động đi quét toàn bộ Internet, phát hiện bất kỳ dấu hiệu nghi ngờ nào là lập tức dùng AI soạn thảo báo cáo và gửi đi hàng loạt.
Ông Ross McKerchar không ngần ngại dùng từ "sự tàn phá tuyệt đối" để mô tả những gì mà nhóm đối tượng này đang gây ra cho các bộ phận bảo mật của doanh nghiệp.
Cuộc chơi trăm triệu USD buộc phải thay đổi
Nhìn lại lịch sử, bug bounty đã phát triển rực rỡ kể từ đầu những năm 2000 với những khoản chi trả khổng lồ. Chỉ riêng trong năm ngoái, chương trình của Google đã giải ngân tổng cộng 17 triệu USD cho các hacker mũ trắng, tăng mạnh so với con số 7,5 triệu USD của năm 2021.
Thậm chí, gã khổng lồ tìm kiếm từng chi ra khoản thưởng kỷ lục cá nhân lên tới 605.000 USD vào năm 2022 cho một người dùng phát hiện ra lỗ hổng nghiêm trọng trong hệ sinh thái Android.
Những con số khổng lồ này chính là thỏi nam châm thu hút giới bảo mật, nhưng giờ đây tính bền vững của nó đang bị đặt dấu hỏi lớn khi chi phí nhân sự để vận hành, sàng lọc báo cáo rác đang vượt quá giá trị mà chương trình mang lại.
Các chuyên gia bảo mật nhận định rằng bug bounty chắc chắn sẽ tồn tại, nhưng cấu trúc của chúng bắt buộc phải thay đổi để thích ứng với thời đại AI.
Để đối phó với cuộc khủng hoảng này, các doanh nghiệp bắt đầu áp dụng các biện pháp xác minh lý lịch khắt khe hơn đối với người tham gia, đồng thời xây dựng chính các trợ lý AI để làm nhiệm vụ phân loại ban đầu. Trớ trêu thay, giải pháp cho vấn đề do AI tạo ra lại chính là AI.
Nền tảng HackerOne, đơn vị phục vụ các khách hàng lớn như Goldman Sachs, Google và Bộ Quốc phòng Mỹ, cho biết họ đã triển khai các tính năng xác thực tự động mới để giúp các tổ chức xử lý khối lượng lớn dữ liệu gửi về.
Mặc dù số lượng báo cáo gửi đến HackerOne đã tăng 76% trong năm qua, tỷ lệ báo cáo chỉ ra lỗ hổng thực tế vẫn duy trì ổn định ở mức 25%. Điều này cho thấy công tác sàng lọc công nghệ cao đang bước đầu phát huy tác dụng.
Bà Kara Sprague, Giám đốc điều hành của HackerOne, nhận định rằng sự gia tăng của các báo cáo do AI tạo ra không phải là lý do để các doanh nghiệp khai tử chương trình của mình. Thực tế, nhiều hacker có năng lực đang dùng AI để tìm ra những lỗi cực kỳ phức tạp mà con người khó lòng phát hiện thủ công.
Đồng quan điểm, CEO Dave Gerry của Bugcrowd khẳng định các mô hình AI chuyên dụng về bảo mật, đơn cử như Mythos của Anthropic, sẽ đóng vai trò là trợ thủ đắc lực cho con người chứ không thể thay thế hoàn toàn. AI có thể tối ưu hóa tốc độ và quy trình, nhưng sự sáng tạo độc bản của bộ não con người vẫn là chốt chặn cuối cùng trong cuộc chiến bảo mật.
*Nguồn: FT, Fortune
