Internet Bug Bounty, AI 지원 연구에서 ‘확장된 발견’을 이유로 지급을 일시 중단

Source: Slashdot

프로그램 일시 중단

인터넷 버그 현상금 프로그램은 새로운 제출을 위해 일시 중단되었습니다. 이는 지난 주 HackerOne이 발표한 내용입니다.

배경

• 2012년에 시작된 이 프로그램은 여러 선도 소프트웨어 기업들의 자금 지원을 받고 있으며, 이는 InfoWorld에 따르면 확인됩니다.
• 현재까지 버그를 보고한 연구자들에게 150만 달러 이상을 지급했습니다.
• 역사적으로 **80 %**의 보상은 새로운 결함 발견에, **20 %**는 수정 작업 지원에 사용되었습니다.

AI‑지원 연구의 영향

HackerOne은 인공지능이 버그 탐지를 용이하게 하면서 발견과 수정 사이의 균형을 변화시키고 있다고 설명했습니다:

“AI‑지원 연구는 생태계 전반에 걸쳐 취약점 발견을 확대하고, 커버리지와 속도를 모두 높이고 있습니다. 오픈 소스에서의 발견과 수정 역량 사이의 균형이 실질적으로 변했습니다.” – HackerOne 성명

특정 프로젝트에 미치는 영향

Node.js

대규모 생태계를 가진 서버‑사이드 JavaScript 플랫폼인 Node.js 프로젝트는 영향을 받은 최초 프로그램 중 하나입니다. 프로젝트 팀은 HackerOne을 통해 버그 보고를 계속 접수하고 분류하겠지만, 인터넷 버그 현상금 프로그램으로부터 더 이상 자금을 받지 못하게 되므로 보상을 지급할 수 없다고 프로젝트 발표에서 밝혔습니다.

AI‑생성 제출 중단 관련 사례

지난 달 Google도 오픈 소스 소프트웨어 취약점 보상 프로그램에 대한 AI‑생성 제출을 중단했습니다.

인터넷 버그 현상금 프로그램 성명

프로그램은 커뮤니티에 대한 책임을 강조했습니다:

“우리는 이 프로그램이 발견과 수정이라는 두 가지 야심찬 목표를 효과적으로 달성하도록 보장할 책임이 있습니다. 따라서 우리는 이러한 목표를 추진하기 위해 필요한 구조와 인센티브를 고민하는 동안 제출을 일시 중단하고 있습니다…”

“우리는 오픈 소스 보안을 강화하기 위해 계속 전념하고 있습니다. 프로젝트 유지관리자와 연구자와 협력하여 인센티브를 오픈 소스 생태계 현실에 더 잘 맞추고, 취약점 발견이 지속 가능한 수정 결과로 이어지도록 솔루션을 적극 평가하고 있습니다.”