● news.bsdnet.hu

Ha mesterséges intelligencia eszközökkel találtál hibát, akkor nagy valószínűséggel már más is megtalálta –írta a hétvégénegy új Linux-kernel bejelentése kapcsánLinus Torvalds.A mondat jól összefoglalja a problémát, amivel nemcsak az open source projektek koordinátorai, hanem egyre több szoftvergyártó cég is szembesül. Torvalds a posztban arra panaszkodik, hogy mivel a biztonsági levelezőlistákra kismilliószor küldik be ugyanazt az MI-felfedezte hibát, az operátorok nem vagy csak sokkal kevesebbet tudnak lényegi dolgokkal foglalkozni. A bug bounty programok is ezzel küzdenek AFinancial Times számszerűsítette isa probléma mértékét: tavalyhoz képest több mint 70 százalékkal nőtt a rossz minőségű, MI generálta sebezhetőségi bejelentések száma. A növekmény jelentős része azonban szemét, ami vagy egy már bejelentett hiba ismétlése, vagy értelmezhetetlen, reprodukálhatatlan probléma. A növekedést a HackerOne és Bugcrowd statisztikái is alátámasztják: 2025 elején még csupán 1,9 millió hibajelentést kaptak havonta, most átlagosan 3,2 milliót.A HackerOne egy blogbejegyzéseszerint a bejelentések száma idén januártól lódult meg látványosan. Valószínűleg az is az MI számlájára írható, hogy az aktív vállalati fejvadászprogramok száma is ütemesen gyarapszik. A hibajelentések számának növekedése (Forrás:HackerOne) Bár ezek lehetnének pozitív jelenségek, összességében inkább ellentmondásosak. A bug bounty kezdeményezések ugyanis arra épülnek, hogy hatékonyabbak –gyorsabbak és olcsóbbak–, mint egy belsős csapat fenntartása erre a célra. Ám az MI olyan mértékű zajt tud generál, hogy az már veszélyezteti  ezt a hatékonyságot. A fals vagy már ismert hibák sokasága leköti a biztonsági csapatok erőforrásait, és eltereli a figyelmet a valódi fenyegetésekről. A cégek egy része szigorúbb előszűrést tervez bevezetni, például kötelezővé tenné, hogy a bejelentő mellékeljen a sérülékenységhez proof‑of‑concept videót. Más szervezetek MI-vel próbálják kiszűrni azokat a bejelentéseket, melyek már rendelkeznek CVE azonosítóval. Az ilyen előszűrés persze nagy valószínűséggel új bizonytalanságokat visz a rendszerbe. MI, a hármas kockázat A HackerOne más kockázati tényezőt is említ. A hibajelentések számának a növekedése miatt egy év alatt 21-szeresére nőtt a megoldatlan sebezhetőségek száma, ezen belül kritikus besorolásúak esetében 25-szörös a növekmény. Ez azt is világossá teszi, hogy mekkora a különbség a felfedezés és a javítás sebessége között, azaz mekkora hendikeppel indulnak a biztonsági szakemberek a kiberbűnözőkkel szemben. A támadók ugyanazokat az MI-alapú felderítő eszközöket használhatják, mint a hibavadászok, és ha rövidül is általánosságban a kihasználásra lehetőséget adó idő (a HackerOne statisztikái szerint), a bűnözők egyre hatékonyabban tudják kihasználni ezt a szűkebb időablakot. A szakemberek rövid távú javaslata az, hogy az általános kockázatcsökkentésre kell koncentrálni. Hosszabb távon azonban elkerülhetetlen a védelmi erőforrások növelése, illetve megerősítése MI-támogatással. Torvalds érzékeny pontra tapintott, de valószínűleg téved abban, ha teljes mértékben elutasítja az MI szerepét a hibakeresésben. Egy közeli munkatársa, a Linux-kernel karbantartásán régóta dolgozóGreg Kroah-Hartmanegya tavaszi KubeCon Europe-on adott interjújábanarról beszélt, hogy MI-támogatással sokkal jobb minőségű kódokat lehet generálni, mert sokkal több hibát lehet már a fejlesztési fázisban kiszűrni – de minden esetben fontos az emberek által elvégzett tisztítási és integrációs munka. És a tanulság? Ha a biztonsággal összefüggésben kerül szóba az MI, akkor mindig jusson eszünkbea Bugcrowd egyik szlogenje: "A mesterséges intelligenciának három fontos szerepe van: eszköz, célpont és fenyegetés." És írjuk fel a falra, hogy mindig szem előtt legyen!