10年前、脆弱性開示と「バグバウンティ」プログラムは、機関がセキュリティリサーチに取り組む方法を変革し始めました。敵対的な姿勢から、外部からのインプットと迅速なパッチ適用の必要性を認識する方向へとシフトしました。例えば、**Apple**は2016年に最高賞金20万ドルで開始し、昨年は200万ドルにまで引き上げました。しかし、エージェンティックAIの普及はこの確立されたシステムを混乱させる可能性があります。 ### AIによる氾濫 エージェンティックAIモデルがソフトウェアの脆弱性を自律的に特定し、エクスプロイトを開発する能力を高めるにつれて、脆弱性開示プログラムは提出件数の急増を経験しています。この急増は、組織が内部でより多くのバグを発見していることと一致しており、機関と研究者の両方にとってバグバウンティの経済性を変化させています。 「昨年同時期に比べて3倍多くのバグを提出したと思います。**Google**のような企業は、昨年よりも2倍から10倍多くバグの支払いを行うことになるでしょう」と、バグハンティングにAIを使用している独立系セキュリティ研究者の**Joseph Thacker**氏は述べています。 Thacker氏は、テックジャイアントは増加するプレッシャーに対処できるが、ほとんどの企業はそうではないと指摘しています。彼は、AIが容易に見つかるバグ（low-hanging fruit）を見つけるにつれて、提出件数が将来的に減少する可能性があり、それが企業に支払い額を再び増やすことを促すだろうと予測しています。 ### 90日開示期限への圧力 エクスプロイト発見と自動システムスキャンにおけるAIの有効性は、開発者にパッチリリースを迅速化するよう圧力をかけ、90日開示期限のような確立された基準に影響を与える可能性があります。 セキュリティ研究者の**Himanshu Anand**氏が書いたように、「90日間の責任ある開示期間は、バグ発見者がまれでエクスプロイト開発が遅かった世界のために構築されました。その世界は去りました。LLMは両方のタイムラインを圧縮しました。」 この緊急性は、組織が脆弱性修正を展開する速度を向上させ、パッチの普及とその潜在的な意図しない結果という複雑な課題に対処することを促進する可能性があります。 ### AI支援攻撃の増加 AIによって支援される現実世界での攻撃の緊急性は高まっており、洗練された攻撃者とそうでない攻撃者の両方がAIを活用して能力を拡大し、コストを削減しています。**Google**の研究者は最近、オープンソースのシステム管理プラットフォームで2要素認証をバイパスするためにAIを使用して開発された**zero-day**脆弱性を悪用しようとするサイバー犯罪者の試観測しました。 「私たちは皆、それがすでに起こっていると仮定していましたが、これがそれが起こっている最初の証拠です」と、攻撃者がAIを使用して新しい脆弱性を発見し悪用することに関して、Google Threat Intelligence Groupの主任アナリストである**John Hultquist**氏は述べています。 Hultquist氏は、すでに高い成功率を誇る現在のゼロデイエクスプロイト利用者に加えて、より多くの犯罪者がゼロデイエクスプロイトにアクセスできるようになることの重大な影響を強調しています。 ### バグバウンティプログラムの適応 バグハンティングを通じて収入を得ている研究者にとって、状況は変化しています。コマンドラインツールである**Curl**は、低品質でAI生成された提出件数の氾濫により、1月にバグバウンティプログラム（サードパーティサービス**HackerOne**を通じて運営）を終了しました。 「バグバウンティは、過負荷と悪用を引き起こす『問題』を見つけ、作り出すための非常に強いインセンティブを人々に与えることを、私たちは厳しい方法で結論付けました」と、グループは書いています。 **Linus Torvalds**氏は、**Linux**のセキュリティメーリングリストが、大量の重複したAIバグレポートにより「ほぼ完全に管理不能」になったと指摘しました。しかし、Curlの創設者である**Daniel Stenberg**氏は、AIの支援を受けた高品質なレポートが増加し、提出件質の向上が見られると指摘しました。 4月、GoogleはChromeおよびAndroidの脆弱性報奨金プログラムの抜本的な見直しを発表し、最も困難で影響力のある脆弱性に焦点を当てるように支払い額を調整しました。 「AIとともにセキュリティリサーチの状況が進化するにつれて、私たちは製品における最も困難で影響力のある脆弱性を確実に報奨するために、プログラムに変更を加えています」と同社は述べています。 心臓病専門医でありバグバウンティハンターでもあるJonathan Dunn氏は、高度なスキルを持つバグハンターは今後も脆弱性を見つけ、それに対して報奨を得続けるだろうと信じています。彼はまた、倫理的な研究者が、そうでなければ十分な注意を払われない可能性のある公共インフラストラクチャと重要システムに焦点を当てるようにインセンティブを与える必要性を強調しました。