trueNetLab logo
SW
Baada ya Mythos: kwa nini bug bounty zinahitaji ushahidi imara zaidi

Baada ya Mythos: kwa nini bug bounty zinahitaji ushahidi imara zaidi

9 min read
Ai Security Sophos

Jedwali la yaliyomo

Wiki chache zilizopita niliandika kuhusu Anthropic Mythos na Project Glasswing. Wakati huo hoja ilikuwa zaidi picha kubwa: kama modeli zitakuwa bora kweli katika kupata udhaifu wa zamani, kuunganisha njia za exploit, na kuelewa codebase nzima, basi vulnerability research itabadilika.

Makala mpya ya Sophos kuhusu bug bounty katika zama za Mythos sasa inaonyesha upande wa uendeshaji wa jambo hilo.

Suala si tu kama AI inapata udhaifu bora. Suala ni kama programu za bug bounty, timu za security, na mashirika ya engineering yanaweza kutofautisha haraka vya kutosha kati ya taka, madai yanayosikika kuwa ya kweli, na matatizo halisi ya usalama.

Katika zama za Mythos, ripoti yenye thamani zaidi si ile yenye sauti kubwa, bali ile inayoweza kurudiwa kwa usafi zaidi.

Tatizo halisi si slop ya AI pekee

Tunapozungumza kuhusu AI na bug bounty, ni rahisi kufikiria slop: ripoti zinazozalishwa kiotomatiki, ujumbe wa makosa ulioeleweka nusu, minyororo ya exploit iliyotungwa, madai yasiyoweza kurudiwa, na maandishi mengi yenye kiini kidogo.

Hilo ni halisi. Na ni kero kubwa kwa maintainer, timu za product security, na watu wa triage.

Lakini huo ni upande mmoja tu.

Upande mwingine ni hatari zaidi: watafiti wazuri wanaweza kutumia modeli hizo hizo kupata udhaifu halisi kwa haraka zaidi, kujaribu dhana kwenye codebase kubwa, na kupitia tofauti za pattern kwa utaratibu. Kazi ambayo zamani ilihitaji siku au wiki za mikono inaweza kuingia kwenye foleni ndani ya saa chache.

Kwa hiyo tatizo linahama. Zamani swali lilikuwa mara nyingi: je, tunapata findings nzuri za kutosha kutoka nje? Sasa swali linakuwa: je, tunaweza kutambua, kuthibitisha, kupanga kipaumbele, na kubadilisha findings halisi kuwa fixes haraka vya kutosha huku kelele zikiongezeka?

Kwa nini Sophos ni chanzo cha kuvutia hapa

Makala ya Sophos si maoni ya jumla kuhusu AI. Sophos inaangalia programu yake ya bug bounty na kutoa namba halisi.

Kwa mujibu wa Sophos, programu yao ya umma imekuwa ikiendeshwa kwenye Bugcrowd tangu Desemba 2017. Sophos inaandika kuwa hadi wakati wa makala hiyo, udhaifu 1,343 ulikuwa umelipiwa, kati ya submissions 7,091 kwa jumla, na malipo ya jumla ya dola za Marekani 599,695.

Kwa 2025, Sophos inataja miongoni mwa mambo mengine:

  • dola 59,400 za Marekani kwa zaidi ya ripoti 52
  • takriban watafiti 420 waliohusika
  • hadi dola 80,000 za Marekani kwa Intercept X Endpoint chini ya masharti fulani
  • hadi dola 50,000 za Marekani kwa Sophos Central
  • hadi dola 50,000 za Marekani kwa Sophos Firewall
  • bug 13 halali za Sophos Firewall mwaka 2025, na jumla ya dola 21,500 za Marekani
  • bug 13 halali za Sophos Central mwaka 2025, na jumla ya dola 11,650 za Marekani

Hizi si namba za ajabu sana, na ndiyo maana zinavutia. Zinaonyesha kazi kubwa ya kuchuja iliyo nyuma ya programu iliyoiva kiasi. Maelfu ya submissions hayamaanishi moja kwa moja maelfu ya matatizo muhimu ya usalama. Na AI huenda haitafanya uwiano huu uwe rahisi.

Itafanya uwe mgumu zaidi.

Kurudiwa kwa matokeo kunakuwa tiketi ya kuingia

Matokeo muhimu zaidi, kwa mtazamo wangu, ni rahisi lakini hayafurahishi: security report isiyo na uwezo safi wa kurudiwa itakuwa na thamani ndogo.

Si kwa sababu timu za triage ni wavivu. Ni kwa sababu muda wao unakuwa haba zaidi.

Ikiwa ripoti inadai kuonyesha remote code execution, auth bypass, au uvujaji muhimu wa data, lazima ithibitishe kwa uwazi:

  • ni toleo gani limeathirika
  • ni usanidi gani unahitajika
  • mshambuliaji anahitaji haki gani
  • ni hatua gani zinazoleta matokeo kwa namna inayoweza kurudiwa
  • ni logs, requests, traces, au screenshots gani zinazounga mkono dai
  • ni impact gani imethibitishwa kweli
  • mpaka kati ya dhana na ushahidi uko wapi

Hiyo inasikika kali. Na ni kali. Lakini ndiyo itakayohitajika kama security teams hazitaki kuzama kwenye maandishi yanayosikika kuwa ya kuaminika.

Ripoti inayozalishwa na AI inaweza kuonekana yenye kushawishi sana kwa lugha. Inaweza kunukuu code, kuandika kama CVE, na kuiga muundo safi. Hilo haliifanyi kuwa kweli. Kwa upande mwingine, ripoti fupi na kavu yenye proof of concept nzuri inaweza kuwa na thamani kubwa sana.

Sarafu mpya si uandishi mzuri. Sarafu mpya ni ushahidi.

AI hufanya bug za authorization kuwa mbaya zaidi

Jambo moja katika makala ya Sophos linaonekana la vitendo sana: AI inaweza kusaidia kupanua authorization bypass iliyopatikana kwenye eneo kubwa zaidi la scope.

Hii inaendana na kinachoonekana katika mazingira halisi ya SaaS. Authorization mara chache huwa swichi moja. Inaishi kwenye roles, tenants, object IDs, subdomains, API versions, admin surfaces, mobile endpoints, legacy routes, na features zilizohamishwa nusu.

Mtafiti akipata pattern, AI inaweza kusaidia kukagua tofauti zake kwa utaratibu:

  • Je, bypass inafanya kazi kwa endpoint moja tu au familia nzima ya endpoints?
  • Je, inafanya kazi ndani ya tenant moja tu au pia kuvuka tenants?
  • Je, logic hiyo hiyo ipo kwenye API za zamani na mpya?
  • Je, roles za admin na user zimetenganishwa vizuri kila mahali?
  • Je, object inaweza kupakiwa moja kwa moja kwa ID ingawa UI isingeionyesha?

Hapo ndipo AI inakuwa hatari lakini yenye manufaa. Si kama hacker wa kichawi, bali kama kichapuzi cha ukaguzi mpana, wa kuchosha, na wa kimfumo.

Na hilo ni baya kwa mashirika ambayo usalama wake unategemea sana ukweli kwamba hakuna mtu mwenye muda wa kutosha kujaribu tofauti zote hizo za kuchosha.

Bug bounty si inbox ya PR

Kampuni nyingi bado hutazama bug bounty kama suala la picha: tuna programu, kwa hiyo tuko wazi, wa kisasa, na tunajali security.

Hilo halitoshi tena.

Programu ya bug bounty ni mfumo wa uzalishaji. Inahitaji sheria wazi, triage nzuri, reproduction ya kiufundi, ukaribu na bidhaa, uwajibikaji wa engineering, na uhusiano na incident response. Vinginevyo inakuwa tu inbox ya umma ambapo watafiti wa nje, slop ya AI, na washambuliaji halisi hutumia mlango ule ule.

Sophos inaunganisha mambo mawili magumu:

Kwanza: watafiti wazuri husaidia. Mtazamo wa nje, njia tofauti za kufikiri, na shinikizo endelevu vina thamani.

Pili: mfumo wenye pesa na uaminifu unaweza pia kutumiwa vibaya. Sophos inarejea uzoefu unaohusiana na Pacific Rim, Asnarök, na Personal Panda, ambapo ukaribu wa muda kati ya exploitation hai na ripoti za bug bounty zilizofuata uliibua angalau maswali. Sophos haisemi wazi kuwa kila ripoti ya aina hiyo ilikuwa mbaya. Lakini hoja ya kiutendaji inabaki: programu ya bug bounty haiwezi kujengwa kwa unyofu wa kupita kiasi.

Kwa vitendo, hii ina maana:

  • Ripoti zinapaswa kuunganishwa na telemetry.
  • Finding mpya inapaswa pia kuweza kuanzisha threat hunts za kurudi nyuma.
  • Triage lazima ijue kama majaribio ya exploit yanayofanana yalikuwa tayari yanaonekana.
  • Sifa ya mtafiti husaidia, lakini haibadilishi ukaguzi wa kiufundi.
  • Safe harbor ni muhimu, lakini si mbadala wa kugundua matumizi mabaya.

Huo ndio ukweli tulivu: bug bounty ni sehemu ya Secure by Design, si mbadala wake.

Ushahidi mgumu pia unamaanisha uwajibikaji mgumu

Kuna mvutano hapa ambao haupaswi kufunikwa.

Kihistoria, watafiti mara nyingi huambiwa: simameni mapema vya kutosha. Onyesheni bug, lakini msizame sana. Msiguse data ya wateja. Hakuna lateral movement. Hakuna vitendo vya kuharibu.

Hiyo ni sahihi.

Wakati huo huo, mzigo wa ushahidi utaongezeka. Ikiwa AI itazalisha kwa wingi ripoti zinazosikika kuwa za kweli lakini ni za uongo, programu zitataka evidence zaidi. Hapo swali gumu hutokea: mtafiti anawezaje kuthibitisha impact kwa nguvu zaidi bila kuingia kwenye tabia hatari?

Jibu haliwezi kuwa: “fanyeni zaidi tu.” Jibu lazima liwe la kudhibitiwa zaidi:

  • rules of engagement zilizo wazi zaidi
  • mazingira maalum ya majaribio
  • njia salama za reproduction
  • mipaka iliyokubaliwa ya kuthibitisha impact
  • mifumo bora ya sandbox na lab
  • replay otomatiki za proof of concept

Kwa watengenezaji wakubwa, hili karibu ni lazima. Mtu anayelipa bounty kubwa anapaswa pia kuwa na miundombinu ya kuthibitisha ripoti kwa usafi na haraka.

Kwa miradi midogo, hali ni chungu zaidi. Wanapata wimbi lile lile la slop, lakini hawana resources zile zile. Ndiyo maana baadhi ya miradi itapunguza bug bounty za kifedha au kuzifunga kabisa. Si kwa sababu hawachukulii security kwa uzito, bali kwa sababu kuendesha programu yenyewe kunakuwa mzigo.

Admin na MSP wanaweza kujifunza nini

Mtu anaweza kusema: hili linahusu vendors na programu za Bugcrowd tu.

Sikubaliani.

Mechanism ile ile inawakumba pia MSPs, timu za ndani za IT, na watu wanaowajibika na security. Kila mahali ambapo findings za nje au ndani zinahitaji kutathminiwa, shinikizo linaongezeka:

  • Scanners zinatoa findings zaidi.
  • Wasaidizi wa AI wanaeleza findings kwa kushawishi zaidi.
  • Developers wanaleta maelezo ya security yaliyotengenezwa na AI.
  • Wateja wanauliza kuhusu CVE kabla ya kuelewa context.
  • Management inataka kujua kama risk ni halisi au ni kelele tu.

Jibu la vitendo si kupuuza kila kitu. Jibu ni mchakato mkali zaidi wa validation.

Kwa mtazamo wangu, angalau maswali haya yanahitajika:

  1. Je, tatizo linaweza kurudiwa?
  2. Je, scope iliyoathirika iko wazi?
  3. Je, kuna njia ya mshambuliaji inayowezekana kihalisi?
  4. Je, impact imethibitishwa kiufundi au imedaiwa tu?
  5. Je, kuna logs au telemetry zinazoweza kuonyesha exploitation?
  6. Je, fix ni patch, configuration, workaround, au kiraka tu?
  7. Je, tunahitaji kutafuta nyuma kama tayari imetumiwa vibaya?

Hiyo inaonekana kama kazi zaidi. Ni kazi zaidi. Lakini ni kazi bora kuliko kuguswa kwa haraka na kila ripoti iliyoandikwa vizuri.

Kwa nini hii inaendana na Mythos

Hoja muhimu kuhusu Mythos kwangu haikuwa tu: “wow, modeli inapata bugs.”

Hoja ilikuwa: ikiwa uwezo kama huo unakuwa halisi zaidi, muda kati ya kupata, kuelewa, kurudia, na kutumia udhaifu unapungua. Hapo ndipo programu za bug bounty zinapoguswa. Ziko kwenye makutano ya utafiti, uwezo wa shambulio, engineering, na uwajibikaji.

Sophos inaweka jambo hilo kwa namna inayofanana: swali si jinsi ya kusimamisha submissions za AI. Swali ni jinsi ya kuhifadhi uaminifu na signal wakati utafiti mzuri na kelele vinaweza kuzalishwa kwa kasi ya mashine.

Kwangu, huo ndio muhtasari safi zaidi wa tatizo.

Si kila shirika linahitaji programu kubwa ya bug bounty. Lakini kila shirika linahitaji mechanisms bora za kuthibitisha madai ya kiufundi. Kwa sababu mafuriko ya taarifa za security hayatapungua. Yatakuwa ya haraka zaidi, yenye sauti zaidi, na yaliyoandikwa vizuri zaidi.

Mtazamo wangu

Ninaona makala ya Sophos kama follow-up nzuri kwa Mythos, kwa sababu inahamisha mjadala kutoka chumba cha modeli kwenda chumba cha uendeshaji.

Mythos ni signal ya kuvutia. Triage ya bug bounty ndiyo benchi la kazi ambako tunaona kama michakato ya security inaweza kuendana na kasi.

Hoja yangu ni rahisi:

  • Anayekusanya ripoti zaidi tu atapoteza.
  • Anayedai ushahidi unaoweza kurudiwa atapanga vipaumbele vizuri zaidi.
  • Anayeunganisha bug bounty, telemetry, engineering, na incident response atajibu haraka zaidi.
  • Anayeelewa AI kama generator ya maandishi tu anapuuza thamani yake kwa kazi ya security ya kimfumo.
  • Asiyechuja slop ya AI anachoma muda wa watu wanaopaswa kutatua matatizo halisi.

Hilo halisikiki lenye mvuto kama frontier model inayopata zero-days. Lakini hapo ndipo huamuliwa kama faida ya security inawafikia defenders au kama kila mtu anazama kwenye kelele zaidi.

Tutaonana tena,
Joe

Vyanzo

Machapisho yanayohusiana

Kutoka PRISM hadi Prompts: Utegemezi mpya wa AI

Kutoka PRISM hadi Prompts: Utegemezi mpya wa AI

Nguvu ya kompyuta isiyotumika inayotuzunguka

Nguvu ya kompyuta isiyotumika inayotuzunguka

Sophos vs WatchGuard: ulinganisho wa firewall 2026

Sophos vs WatchGuard: ulinganisho wa firewall 2026

Tafuta