Bug bounty businesses bombarded with AI slop

출처: Ars Technica

AI가 만든 버그 현상금 보고서가 혼란을 초래하다

그는 “경험 많은 AI 구축자”라는 세 번째 집단이 자동화된 “엔드‑투‑엔드 스캔 및 제출 시스템”을 개발했으며, 이 시스템이 “엄청난 파괴를 일으키고 있다”고 덧붙였다.

“끝없이 쏟아지는 형편없는 보고서는 관리에 심각한 정신적 부담을 주고, 때로는 이를 검증하는 데도 오랜 시간이 걸린다.” – cURL 창시자 Daniel Stenberg, 블로그 글에서.

소프트웨어 그룹 Nextcloud는 “저품질 보고서가 급증”함에 따라 4월에 버그 현상금 프로그램을 일시 중단했다. 회사는 제출물을 효과적으로 필터링할 방법을 찾은 뒤 프로그램을 재개할 계획이다.

AI‑생성 보고서 급증은 Anthropic이 지난달 새로운 사이버‑AI 모델 Mythos를 출시하면서 나타났다. Anthropic은 이 모델이 인간보다 더 빠르게 소프트웨어 결함을 찾아낼 수 있다고 주장한다.

업계 대응

• 버그 현상금 프로그램을 운영하는 기업들은 보다 엄격한 사전 검증 절차를 도입하고, 제출물을 분류하기 위한 AI 에이전트를 구축하고 있다.
• HackerOne(골드만삭스, 구글, 미국 국방부 등에게 서비스를 제공하는 플랫폼)은 올해 “새로운 에이전시 검증 기능”을 도입해 Mythos와 같은 모델이 생성한 대량의 발견을 관리하도록 돕고 있다. 제출 건수는 3월까지 1년 동안 76 % 증가했지만, 실제 취약점을 보고한 비율은 지난 1년간 25 %로 유지되고 있다.
• HackerOne CEO Kara Sprague는 AI를 활용한 “고품질” 보고서가 최근 늘고 있다고 언급하며, AI‑생성 제출물이 “우리가 완전히 원하지 않는다는 강력한 이유는 아니다”라고 덧붙였다. 해커들이 이 기술을 이용해 더 많은 결함을 찾아내고 있기 때문이다.
• Bugcrowd의 수석 Dave Gerry는 Anthropic의 Mythos와 같은 발전이 인간 버그 현상금 사냥꾼을 돕는 역할을 할 것이며, 인간의 창의성을 대체하지는 않을 것이라고 말했다. “AI는 많은 부분에서 도움이 되겠지만, 인간의 창의성을 대체할 수는 없습니다.”