Lần đầu tiên trong lịch sử an ninh mạng, một hệ thống trí tuệ nhân tạo đã giành được vị trí số một trên bảng xếp hạng bug bounty lớn. XBOW , một công cụ kiểm thử xâm nhập tự động, đã đạt vị trí số một trên bảng xếp hạng Mỹ của HackerOne bằng cách phát hiện hơn 1.000 lỗ hổng bảo mật trên nhiều công ty và chương trình khác nhau. Mặc dù cột mốc này chứng minh khả năng ngày càng tăng của AI trong lĩnh vực an ninh mạng, nó đã gây ra cuộc tranh luận gay gắt về tương lai của các nhà nghiên cứu bảo mật con người và khả năng xảy ra tình trạng ngập lụt báo cáo tự động.
Thống kê Khám phá Lỗ hổng của XBOW:
- Tổng số báo cáo gửi: 1.060 lỗ hổng
- Đã giải quyết: 130 lỗ hổng
- Đã phân loại: 303 lỗ hổng
- Đang chờ xem xét: 125 lỗ hổng
- Báo cáo trùng lặp: 208 báo cáo
- Mang tính thông tin/Không áp dụng: 245 báo cáo
Phân loại theo Mức độ Nghiêm trọng (90 Ngày qua):
- Nghiêm trọng: 54 vấn đề
- Cao: 242 vấn đề
- Trung bình: 524 vấn đề
- Thấp: 65 vấn đề
 |
|---|
| " XBOW lên đầu bảng xếp hạng săn lỗi của Mỹ lần đầu tiên trong lịch sử, đánh dấu một cột mốc quan trọng trong an ninh mạng" |
Thành tựu Đằng sau Những Tiêu đề
Việc XBOW leo lên vị trí đầu không chỉ là về số lượng - hệ thống AI này đã phát hiện ra những lỗ hổng bảo mật thực sự bao gồm các lỗ hổng thực thi mã từ xa, các cuộc tấn công SQL injection và các vấn đề cross-site scripting. Trong số những phát hiện đáng chú ý của nó có một lỗ hổng chưa được biết đến trước đây trong giải pháp VPN GlobalProtect của Palo Alto ảnh hưởng đến hơn 2.000 máy chủ. Hệ thống hoạt động hoàn toàn tự động, không cần đầu vào từ con người trong quá trình kiểm thử thực tế, mặc dù các nhà đánh giá con người sẽ kiểm tra báo cáo trước khi gửi để tuân thủ các chính sách của nền tảng.
Công ty đằng sau XBOW đã xây dựng các hệ thống xác thực tinh vi để tránh vấn đề kết quả dương tính giả mà nhiều công cụ bảo mật tự động gặp phải. Họ sử dụng cái mà họ gọi là validators - các nhà đánh giá ngang hàng tự động xác nhận từng lỗ hổng thông qua các phương pháp như trình duyệt headless để xác minh các JavaScript payload thực sự thực thi trên các trang web mục tiêu.
Các loại lỗ hổng bảo mật được phát hiện bởi XBOW :
- Thực thi mã từ xa (RCE)
- Tấn công chèn mã SQL
- Thực thể bên ngoài XML (XXE)
- Duyệt đường dẫn
- Giả mạo yêu cầu phía máy chủ (SSRF)
- Tấn công chèn mã cross-site (XSS)
- Tiết lộ thông tin
- Đầu độc bộ nhớ cache
- Lộ thông tin bí mật
Mối lo ngại của Cộng đồng về Tác động Tự động hóa
Phản ứng của cộng đồng an ninh mạng khá trái chiều, với nhiều người bày tỏ lo ngại về những tác động rộng lớn hơn của việc khám phá lỗ hổng bằng AI. Các chuyên gia bảo mật lo lắng rằng các công cụ tự động có thể làm ngập các chương trình bug bounty với những báo cáo chất lượng thấp, khiến việc đánh giá kịp thời các phát hiện của các nhà nghiên cứu con người trở nên khó khăn hơn. Một số người duy trì các dự án mã nguồn mở đã báo cáo cảm thấy choáng ngợp bởi các báo cáo bảo mật được tạo ra bởi AI.
Tuy nhiên, những người bảo vệ công nghệ này chỉ ra rằng các chương trình bug bounty đã đang gặp khó khăn với những báo cáo chất lượng kém từ con người. Chất lượng trung bình của các báo cáo trên các nền tảng như HackerOne được cho là cực kỳ thấp, với nhiều báo cáo hoàn toàn không hợp lệ hoặc dựa trên những hiểu lầm cơ bản về cách thức hoạt động của bảo mật web.
Kinh tế học của Săn lùng Bug Tự động
Thành công của XBOW làm nổi bật cách AI có thể định hình lại kinh tế học của nghiên cứu an ninh mạng. Hệ thống có thể quét hàng nghìn ứng dụng web đồng thời, điều mà sẽ đòi hỏi một đội quân các nhà nghiên cứu con người. Lợi thế về khả năng mở rộng này trở nên đặc biệt quan trọng do tình trạng thiếu hụt các chuyên gia an ninh mạng có kỹ năng và số lượng lớn các hệ thống cần kiểm tra bảo mật.
Các nhà phê bình lo lắng điều này có thể biến việc săn lùng bug bounty từ một lĩnh vực đòi hỏi sự sáng tạo và chuyên môn của con người thành một quy trình công nghiệp hóa bị thống trị bởi các hệ thống AI. Mối lo ngại là các công ty sẽ triển khai các công cụ tự động để tối đa hóa doanh thu từ các chương trình bounty, có khả năng loại bỏ các nhà nghiên cứu con người cá nhân dựa vào các chương trình này để kiếm thu nhập.
Nhìn về Tương lai: Cân bằng giữa Tự động hóa và Chuyên môn Con người
Cuộc tranh luận xung quanh XBOW phản ánh những câu hỏi rộng lớn hơn về vai trò của AI trong an ninh mạng. Mặc dù công nghệ này rõ ràng xuất sắc trong việc tìm ra một số loại lỗ hổng một cách nhanh chóng và trên quy mô lớn, vẫn còn những câu hỏi về việc liệu nó có thể sánh được với sự sáng tạo của các nhà nghiên cứu con người trong việc khám phá các vector tấn công phức tạp, mới lạ hay không.
Vấn đề là có rất nhiều bug dễ bị tổn thương cần được loại bỏ và rất khó để phân bổ đủ tài nguyên cho việc đó. Những tài năng hàng đầu trong lĩnh vực infosec không muốn làm việc đó (và không có đủ số lượng).
Khi các công cụ AI trở nên tinh vi hơn, ngành công nghiệp an ninh mạng sẽ cần tìm cách khai thác hiệu quả của chúng trong khi vẫn bảo tồn cơ hội cho các nhà nghiên cứu con người và duy trì chất lượng của các báo cáo lỗ hổng. Thành công của XBOW có thể chỉ là khởi đầu của một sự thay đổi cơ bản trong cách chúng ta tiếp cận kiểm tra và nghiên cứu an ninh mạng.
Công ty có kế hoạch xuất bản các bài viết kỹ thuật chi tiết về những khám phá thú vị nhất của họ trong những tuần tới, điều này sẽ cung cấp thêm hiểu biết về chính xác cách thức hoạt động của hệ thống AI của họ và những loại lỗ hổng mà nó xuất sắc trong việc tìm ra.
Tham khảo: The road to Top 1: How XBOW did it