“Masalah yang berhubungan dengan negara-bangsa itu sangat serius dan nyata, tapi pelaku kriminal tetap mendominasi insiden yang dihadapi organisasi, dan banyak dari insiden tersebut juga cukup parah,” tambah Hultquist. “Penggunaan zero-day oleh pelaku kriminal selama ini terbatas, dan mereka yang menggunakannya cenderung sangat sukses. Jadi, menurut saya kita tidak boleh meremehkan dampak dari semakin banyaknya penjahat yang punya akses ke zero-day.”
Namun, bagi para peneliti yang mencari uang melalui perburuan bug, situasinya mulai berubah. Alat berbasis command-line, Curl, menghentikan program bug bounty-nya (yang dijalankan melalui layanan pihak ketiga HackerOne) pada bulan Januari setelah kebanjiran laporan berkualitas rendah yang dihasilkan oleh AI.
“Kami menyimpulkan dengan cara yang sulit bahwa bug bounty memberikan insentif yang terlalu kuat bagi orang-orang untuk menemukan dan merekayasa ‘masalah’ dengan itikad buruk, yang menyebabkan kelebihan beban dan penyalahgunaan,” tulis grup tersebut saat itu, menambahkan bahwa “kami tetap menghargai dan menilai laporan kerentanan yang valid.”
Pekan lalu, pencipta dan pengembang utama Linux, Linus Torvalds, menulis bahwa milis keamanan Linux yang terkenal itu menjadi “hampir tidak bisa dikelola” karena volume tinggi dan laporan bug AI yang duplikat.
Namun, pada bulan April, Daniel Stenberg, pendiri dan pengembang utama Curl, mengatakan dalam sebuah unggahan LinkedIn bahwa kualitas laporan yang masuk sudah membaik. “Selama beberapa bulan terakhir, kami tidak lagi menerima laporan keamanan sampah buatan AI di proyek curl,” tulisnya. “Sebaliknya, kami menerima semakin banyak laporan keamanan yang sangat bagus, hampir semuanya dibuat dengan bantuan AI. Laporan-laporan itu masuk dengan frekuensi yang belum pernah terjadi sebelumnya dan memberikan beban kerja yang berat bagi kami.”
Dan pada akhir April, Google mengumumkan bahwa mereka merombak Program Hadiah Kerentanan (VRP) untuk Chrome dan Android, serta menurunkan pembayaran untuk beberapa kelas bug sambil menaikkan yang lainnya.
“Seiring dengan berkembangnya lanskap penelitian keamanan dengan AI, kami melakukan perubahan pada program kami untuk memastikan kami memberikan penghargaan kepada kerentanan yang paling menantang dan berdampak di produk kami,” tulis perusahaan tersebut.
“Saya rasa 90% pemburu bug dengan keahlian khusus akan selalu bisa menemukan sesuatu dan mendapatkan bayaran dari perusahaan besar,” kata Jonathan Dunn, seorang kardiolog yang juga seorang pemburu bug bounty. “Tapi meskipun dengan AI, kita juga perlu memberikan insentif yang besar kepada peneliti etis untuk menemukan celah di infrastruktur publik dan sistem kritis lainnya yang mungkin kurang mendapat perhatian dari para pembela.”
Untuk saat ini, sebagian besar organisasi tampaknya siap untuk menerapkan semua solusi yang bisa mereka pikirkan untuk mengatasi masalah (dan juga manfaat) dari percepatan penemuan bug. “Ini mengubah dinamika industri perburuan bug, tetapi tetap membutuhkan waktu manusia,” kata Alex Zenla, chief technology officer dari perusahaan keamanan cloud Edera.
Awal bulan ini, Anthropic meluncurkan program bug bounty HackerOne bagi para peneliti untuk melaporkan temuan di sistem perusahaan itu sendiri dan pada model AI Claude. Namun, semakin banyak peneliti yang berpendapat bahwa pertahanan struktural diperlukan untuk mengatasi percepatan penemuan kerentanan ini. Dengan kata lain, mereka merancang solusi digital untuk berbagai kelas kerentanan yang dapat menghilangkannya atau membuatnya secara signifikan lebih sulit dieksploitasi dalam praktik.
“Anda tidak bisa hanya menambal jalan keluar dari masalah ini,” kata Niels Provos, insinyur keamanan dan peneliti senior yang sudah lama berkecimpung. “Anda perlu membangun infrastruktur yang membuat sebanyak mungkin bug menjadi tidak relevan.”