Brandyn Murtagh, a fiatal bug bounty hunter, nem mindennapi karriert épít, amely lehetőséget ad számára, hogy a világ különböző pontjain, exkluzív helyszíneken mutassa be tudását. Az ő tapasztalatai közé tartozik a rendezvények, mint például a Las Vegas-i e-sport arénák és a luxus szállodák, ahol a közönség szurkol neki, miközben a ranglistán egyre feljebb kerül, és a jövedelme is folyamatosan növekszik. Murtagh már tíz vagy tizenegy éves korában beleszeretett a számítógépek építésébe és a videojátékok világába, és mindig tudta, hogy „hackelni” vagy a biztonsági területen szeretne dolgozni. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húszévesen áttért a penetrációs tesztelésre, amely nem csupán a digitális, hanem a fizikai biztonság tesztelésével is foglalkozott. „Hamis identitásokat kellett hamisítanom, helyekre bejutni és hackelni. Igazán szórakoztató volt” – mesélte Murtagh.
Az utóbbi évben azonban teljes munkaidős bug vadászként és független biztonsági kutatóként folytatta pályafutását, amely során szervezetek számítógépes infrastruktúráját kutatja biztonsági réseket keresve. Az internet böngészője, a Netscape volt az első technológiai cég, amely az 1990-es években készpénzes „bounty-t” kínált a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekapcsolták a hackereket és azokat a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója hangsúlyozta, hogy bár a hackelés „morálisan semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd platform lehetőséget biztosít arra, hogy a cégek meghatározzák azokat a rendszereket, amelyeket a hackerek célozhatnak, ezzel biztosítva a bug vadászat során a szükséges disciplinát.
A cégek számára a Bugcrowd használatának előnyei egyértelműek. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications nevű hálózati kamerákat és megfigyelő berendezéseket gyártó cég munkatársa elmondta, hogy a 24 millió sor kódot tartalmazó operációs rendszerükben elkerülhetetlenek a biztonsági rések. „Rájöttünk, hogy mindig jó, ha van egy második szem is” – tette hozzá. Az Axis bug bounty programjának megnyitása óta akár 30 sebezhetőséget is felfedeztek és javítottak, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. Az azt felfedező hacker 25,000 dolláros jutalmat kapott, ami igazán jövedelmező munkát jelenthet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg milliónyi hacker van regisztrálva a főbb platformokon, Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti szinten vadászók száma „tízezer” körüli.
Murtagh úgy véli, hogy egy jó hónapban néhány kritikus sebezhetőséget talál, néhány magas prioritású hibát és sok közepes szintű problémát. „Ideális esetben több jó nap is jöhet”, de hozzátette, hogy ez nem mindig valósul meg. Az AI robbanásszerű fejlődése új lehetőségeket teremtett a bug vadászok számára, akik ezáltal új támadási felületeket fedezhetnek fel. Ellis hangsúlyozta, hogy a szervezetek versenyképességük növelésére törekszenek az új technológiák gyors bevezetésével, ami gyakran biztonsági problémákat is felvet. A modern AI rendszerek használata nemcsak erőteljes, hanem „bárki által használható” is. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója arra figyelmeztetett, hogy az AI az első technológia, amely a hivatalos bug vadász közösség már meglévő keretei között robbant be a köztudatba. Az AI szintén új szintre emeli a hackerek tevékenységét, hiszen a technológia segítségével gyorsíthatják és automatizálhatják saját munkájukat, kezdve a sebezhető rendszerek azonosításától a kód hibáinak elemzésén át a jelszavak javaslásáig.
Murtagh például társadalmi manipulációs technikákat alkalmazott a kiskereskedelmi chatbotokkal, megpróbálva kicsalni más felhasználók rendelési adatait. Az AI rendszerek védtelenségei azonban nemcsak a chatbotok, hanem a hagyományos webalkalmazások technikái révén is kihasználhatóak. De Ceukelaire szerint a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszköztárának, ami új kihívásokat is jelent. Dr. Paxton-Fear arra figyelmeztetett, hogy a figyelem túlzott összpontosítása a chatbotokra és nagy nyelvi modellekre elvonhatja a figyelmet az AI által vezérelt rendszerek közötti széleskörű összefonódások biztonsági réseiről. Bár eddig nem történt jelentős AI-hoz kapcsolódó adatlopás, a szakértők szerint ez csupán idő kérdése.
Mindezek ellenére a bug vadászok és biztonsági kutatók szerepe egyre fontosabbá válik az AI-ipar fejlődése során. A cégeknek tudatosítaniuk kell, hogy a bug vadászok bevonása nélkül sokkal nehezebb dolguk lesz a világ biztonságának megőrzésében. De ahogy De Ceukelaire fogalmazott: „Ha valaki egyszer hacker, az mindig hacker marad.”
