La bouillie d’IA et les faux rapports s’attaquent à vos programmes de bug bounty

Generated with DALL·E 3

“`html

Depuis quelques années, le phénomène de la « bouillie d’IA » – désignant des images, vidéos et textes générés par des modèles de langage (LLM) de faible qualité – a envahi internet, polluant les sites web, les plateformes de médias sociaux, et même certains journaux. Le secteur de la cybersécurité n’est cependant pas épargné. Au cours de l’année passée, les acteurs de l’industrie ont exprimé des préoccupations concernant les rapports de bug bounty d’IA slop, c’est-à-dire des rapports prétendant avoir trouvé des vulnérabilités qui n’existent pas réellement, car ils ont été élaborés par un LLM qui a simplement inventé la vulnérabilité avant de l’emballer dans un document professionnel.

Vlad Ionescu, cofondateur et CTO de RunSybil, une startup développant des chasseurs de bugs alimentés par l’IA, a déclaré à TechCrunch : « Les gens reçoivent des rapports qui semblent raisonnables, techniquement corrects. Et puis, en fin de compte, en creusant, vous vous rendez compte, ‘oh non, où est cette vulnérabilité ?’ Il s’avère que c’était juste une hallucination. Les détails techniques ont été totalement inventés par le LLM. » Ce problème est aggravé par le fait que les LLM sont conçus pour être utiles et donner des réponses positives.

Alors que les hackers utilisent de plus en plus les LLM pour créer des rapports de vulnérabilité, la question demeure : quel système d’IA prévaudra ?

Ionescu a expliqué que ce type de rapport inondait les plateformes de bug bounty, surchargeant les clients et entraînant une grande frustration. Des exemples concrets de cette situation préoccupante émergent. Le chercheur en sécurité Harry Sintonen a récemment révélé que le projet open source Curl avait été la cible d’un faux rapport. « Curl peut détecter la bouillie d’IA de loin », a-t-il tweeté. D’autres développeurs d’open source, comme celui du projet CycloneDX, ont même décidé de retirer leur programme de bug bounty, étant submergés par des rapports de qualité très faible.

Les principales plateformes de bug bounty, qui jouent un rôle d’intermédiaires entre les hackers et les entreprises cherchant à récompenser la découverte de failles, ont également constaté une augmentation de ces rapports générés par l’IA. Michiel Prins, cofondateur de HackerOne, a déclaré à TechCrunch qu’un nombre croissant de faux positifs a été enregistré : « Ces soumissions à faible signal peuvent créer du bruit qui nuit à l’efficacité des programmes de sécurité. » Dans ce contexte, HackerOne a récemment lancé Hai Triage, un système qui combine l’humain et l’IA pour filtrer efficacement les soumissions.

En réponse aux questions sur la manière dont d’autres grandes entreprises comme Google, Meta, Microsoft, et Mozilla sont affectées, Mozilla a affirmé ne pas avoir constaté d’augmentation substantielle des rapports invalides qui semblent générés par l’IA. Pour sa part, Microsoft et Meta ont décliné de commenter tandis que Google n’a pas répondu. Alors que la bataille entre les systèmes d’IA utilisés par les hackers et ceux des entreprises s’intensifie, il est crucial de continuer à dynamiquer l’utilisation des technologies AI pour filtrer ces rapports fictifs et garantir la sécurité des programmes de bug bounty.

“`

Partagez cet article
article précédent

Tesla serait en retard sur son engagement de construire 5 000 robots Optimus cette année

article suivant

Lauren Kolodny, backer de Chime, parie sur l’IA pour révolutionner le traitement des successions

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lire plus d'articles