Betreiber von Bug-Bounty-Programmen versinken in KI-generiertem Müll

Eine Flut von AI-Slop überlastet die Plattformen in einem bislang unbekannten Ausmaß.

Bild: Getty Images / Credits: julos

Ein sprunghafter Anstieg KI-generierter Schwachstellenmeldungen setzt die Bug-Bounty-Programme von Unternehmen unter Druck. Erste Firmen haben ihre Programme bereits ausgesetzt.

Bug-Bounty-Programme, bei denen unabhängige Forscher für das Aufdecken von Software-Schwachstellen bezahlt werden, haben sich seit ihren Anfängen in den frühen 2000er Jahren stark ausgeweitet. Google erklärte, sein Programm habe 2025 Auszahlungen in Höhe von 17 Millionen US-Dollar verzeichnet, mehr als doppelt so viel wie vier Jahre zuvor. Die höchste Einzelauszahlung des Unternehmens lag 2022 bei 605.000 US-Dollar, nachdem ein Forscher eine schwerwiegende Schwachstelle entdeckt hatte, die Android-Geräte betraf.

Unternehmen berichten jedoch, dass der rasche Aufstieg generativer KI-Tools die Plattformen inzwischen in beispiellosem Ausmaß mit ungenauen oder erfundenen Meldungen überflutet.

Bugcrowd, eine große Bug-Bounty-Plattform mit Kunden wie OpenAI, Motorola und T-Mobile, teilte mit, dass sich die Zahl der eingegangenen Meldungen im März innerhalb von drei Wochen mehr als vervierfacht habe. Die meisten dieser Meldungen hätten sich jedoch als Fehlalarme oder als minderwertige, KI-generierte Ergebnisse erwiesen.

Curl setzte sein bezahltes Bug-Bounty-Programm im Januar aus, nachdem es zu einer, wie Entwickler Daniel Stenberg es beschrieb, „Explosion von KI-Slop-Meldungen“ gekommen war. Stenberg erklärte, die „nicht enden wollenden Slop-Meldungen“ seien in der Verwaltung zu einer Belastung geworden. Zudem habe die Widerlegung vieler Meldungen erheblichen Zeit- und Arbeitsaufwand erfordert.

Auch das Softwareunternehmen Nextcloud setzte sein Bug-Bounty-Programm im April aus und begründete dies mit einem „massiven Anstieg von Meldungen geringer Qualität“. Das Unternehmen erklärte, es hoffe, die Initiative wieder aufnehmen zu können, sobald bessere Filtersysteme entwickelt worden seien.

Image
Description
Screenshot der Program Guidelines des Nextcloud-Meldeforums für Bugs oder Schwachstellen

KI senkt die Eintrittsbarriere

Fortschritte in der generativen KI verändern die Ökonomie der Bug-Bounty-Jagd grundlegend. Erfahrene Forscher können KI-Tools nutzen, um Schwachstellen effizienter zu identifizieren. Zugleich hat die Technologie die Eintrittsbarriere gesenkt, sodass auch unerfahrene Nutzer mit geringem technischem Verständnis Meldungen in großer Zahl erstellen können.

Ross McKerchar, CISO bei Sophos, erklärte gegenüber der FT, dass sich die Zunahme minderwertiger Meldungen „rasch zu einem großen Problem entwickelt“.

McKerchar sagte, der Zustrom stamme nicht nur von Amateur-Hackern, die erstmals mit KI experimentierten, sondern auch von erfahrenen Forschern, die „manchmal von den Agenten in die Irre geführt werden“.

Eine dritte Gruppe – erfahrene KI-Entwickler – hat demnach damit begonnen, vollautomatische Scan- und Einreichungssysteme zu entwickeln, die „ein wahres Gemetzel anrichten“.

Cyber-fokussierte KI-Modelle

Der zunehmende Einsatz von KI in der Cybersicherheit geht mit dem Wettlauf der Unternehmen einher, immer ausgefeiltere Offensiv- und Defensivsysteme zu entwickeln. Im vergangenen Monat brachte Anthropic Claude Mythos Preview auf den Markt, ein cyber-fokussiertes KI-Modell, das Software-Schwachstellen schneller identifizieren soll als menschliche Forscher.

Strengere Überprüfungsverfahren

Unternehmen, die Bug-Bounty-Programme betreiben, führen inzwischen strengere Überprüfungsverfahren ein und entwickeln KI-gestützte Filtertools, um das Volumen der Meldungen zu bewältigen.

HackerOne gibt an, neue „agentenbasierte Validierungsfunktionen“ eingeführt zu haben, um Kunden bei der Verarbeitung großer Mengen KI-generierter Ergebnisse zu unterstützen. Kara Sprague, CEO von HackerOne, erklärte, das Unternehmen habe zuletzt einen Anstieg „qualitativ hochwertigerer“ KI-gestützter Meldungen verzeichnet und warnte davor, KI-generierte Berichte pauschal abzulehnen.

Bugcrowd teilte mit, seine Einreichungsrichtlinien und Erkennungssysteme aktualisiert zu haben, um verifizierte Fundstellen zu priorisieren und zugleich spekulativen automatisierten Spam zu unterbinden. Geschäftsführer Dave Gerry erklärte, KI werde qualifizierte menschliche Forscher letztlich unterstützen.

„KI wird bei vielen Dingen helfen“, sagte er. „Aber wir werden die menschliche Kreativität niemals ersetzen.“

--

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.