Kevés technológiai karrier kínál lehetőséget arra, hogy világszerte exkluzív helyszíneken mutasd be a képességeidet, a luxusszállodáktól a Las Vegas-i e-sport arénákig, ahol a társaid szurkolnak neked, miközben a neved feljebb lép a ranglistán, és a bevételed egyre nő.

De Brandyn Murtagh ezt tapasztalta meg az első évében, amit bug bounty bounty vadászként töltött.

Murtagh úr 10-11 éves korában kezdett el játszani és számítógépeket építeni, és mindig is tudta, hogy “hacker akarok lenni vagy a biztonság területén akarok dolgozni”.

16 évesen egy biztonsági műveleti központban kezdett dolgozni, 20 évesen pedig a penetrációs tesztelésbe került, amely munkakör az ügyfelek fizikai és számítógépes biztonságának tesztelését is magában foglalta: “Hamis személyazonosságokat kellett hamisítanom, és betörnöm helyekre, majd feltörnöm. Elég szórakoztató volt.”

Az elmúlt évben azonban főállású hibavadász és független biztonsági kutató lett, ami azt jelenti, hogy a szervezetek számítógépes infrastruktúráját kutatja biztonsági rések után. És nem nézett vissza.

Az internetes böngészők úttörője, a Netscape tekinthető az első technológiai vállalatnak, amely még az 1990-es években pénzbeli “fejpénzt” ajánlott fel biztonsági kutatóknak vagy hackereknek a termékeiben található hibák vagy sebezhetőségek felfedezéséért.

Végül olyan platformok jelentek meg, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek azt szerették volna, ha szoftvereiket és rendszereiket biztonsági rések szempontjából tesztelik.

Ahogy a Bugcrowd alapítója, Casey Ellis elmagyarázza, bár a hackelés “erkölcsileg független készség”, a hibavadászoknak a törvényen belül kell működniük.

Az olyan platformok, mint a Bugcrowd, nagyobb fegyelmet hoznak a hibavadászat folyamatába, lehetővé téve a vállalatok számára, hogy meghatározzák, milyen rendszereket akarnak a hackerek célba venni. És ők működtetik azokat az élő hackathonokat, ahol a legjobb hibavadászok versenyeznek és együttműködnek a rendszerek “kalapálásában”, megmutatják képességeiket és potenciálisan nagy pénzt keresnek.

A Bugcrowdhoz hasonló platformokat használó vállalatok számára is egyértelmű a haszon. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákat és felügyeleti berendezéseket gyártó cégnél elmondta, hogy az eszközök operációs rendszerének 24 millió sornyi kódja miatt a sebezhetőségek elkerülhetetlenek. “Rájöttünk, hogy mindig jó, ha van egy második szemünk”.

Az olyan platformok, mint a Bugcrowd azt jelentik, hogy “a hackereket jótékony erőként használhatjuk” – mondja. Bastert úr szerint a bug bounty program megnyitása óta az Axis már 30 sebezhetőséget fedezett fel – és javított be -, köztük egy “általunk nagyon súlyosnak ítéltet”. A felelős hacker 25 000 dolláros (19 300 font) jutalmat kapott.

Tehát jövedelmező munka lehet. A Bugcrowd legjobban kereső hackere a tavalyi évben több mint 1,2 millió dollárt keresett.

De míg a legfontosabb platformokon több millió hacker van regisztrálva, Inti De Ceukelaire, az Intigriti vezető hackertisztje szerint a napi vagy heti szinten vadászó hackerek száma “több tízezer”. Az elit réteg, akiket meghívnak a kiemelt élő eseményekre, még kisebb lesz.

Murtagh úr szerint: “Egy jó hónap úgy néz ki, hogy találnak néhány kritikus sebezhetőséget, néhány magas, sok közepes sebezhetőséget. Néhány jó fizetős nap ideális helyzetben.” De hozzáteszi: “Ez nem mindig történik meg”.

A mesterséges intelligencia robbanásszerű elterjedésével a hibavadászoknak azonban teljesen új támadási felületeket kell felfedezniük.

Ellis úr szerint a szervezetek versenyt futnak, hogy versenyelőnyre tegyenek szert a technológiával. Ez pedig jellemzően a biztonságra is hatással van.

“Általában, ha egy új technológiát gyorsan és versenyképesen vezetünk be, nem gondolkodunk annyit azon, hogy mi romolhat el.” Ráadásul szerinte a mesterséges intelligencia nem csak nagy teljesítményű, hanem “úgy tervezték, hogy bárki használhassa”.

Dr. Katie Paxton-Fear, a Manchester Metropolitan Egyetem biztonsági kutatója és kiberbiztonsági előadója rámutat, hogy az AI az első olyan technológia, amely úgy robbant be a színtérre, hogy a hivatalos hibakereső közösség már létezik.

És ez kiegyenlítette a hackerek játékterét – mondja De Ceukelaire úr. A hackerek – etikusak és nem etikusak egyaránt – kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket. Ez a sebezhető rendszerek azonosítására irányuló felderítéstől kezdve a kód hibák utáni elemzéséig vagy a rendszerekbe való betöréshez szükséges lehetséges jelszavak felajánlásáig terjed.

De De Ceukelaire szerint azonban a modern mesterséges intelligenciarendszerek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipuláció a hackerek eszköztárának fontos részét képezik.

Azt mondja, hogy a klasszikus rendőrségi kihallgatási technikákból merített, hogy összezavarja a chatbotokat, és rávegye őket, hogy “megtörjenek”.

Murtagh úr leírja, hogy ilyen social engineering technikákat alkalmaz a kiskereskedők számára készült chatbotokon: “Megpróbáltam rávenni a chatbotot, hogy kérést indítson, vagy akár magát is kiváltsa, hogy átadja nekem egy másik felhasználó rendelését vagy egy másik felhasználó adatait”.

De ezek a rendszerek a “hagyományosabb” webes alkalmazások technikáival szemben is sebezhetőek – mondja. “Volt némi sikerem a cross site scripting nevű támadással, ahol lényegében át lehet verni a chatbotot, hogy rosszindulatú hasznos terhet jelenítsen meg, ami mindenféle biztonsági következményeket okozhat”.”

De a fenyegetés nem áll meg itt. Dr. Paxton-Fear szerint a chatbotokra és a nagy nyelvi modellekre való túlzott összpontosítás elterelheti a figyelmet a mesterséges intelligenciával működő rendszerek szélesebb körű összekapcsoltságáról.

“Ha egy rendszerben sebezhetőséget találunk, hol jelenik meg ez végül minden más rendszerben, amelyhez kapcsolódik? Hol látjuk ezt a kapcsolatot közöttük? Én ott keresném az ilyen jellegű hibákat.”

Dr. Paxton-Fear hozzáteszi, hogy eddig még nem történt nagyobb, mesterséges intelligenciával kapcsolatos adatbetörés, de “szerintem ez csak idő kérdése”.

Addig is, mondja, a fejlődő AI-iparnak biztosnak kell lennie abban, hogy a hibavadászokat és a biztonsági kutatókat is befogadja. “Az a tény, hogy néhány vállalat nem teszi ezt, sokkal nehezebbé teszi számunkra, hogy elvégezzük a munkánkat, vagyis a világ biztonságának megőrzését”.

Ez nem valószínű, hogy a hibavadászokat időközben elriasztja. Ahogy De Ceukelaire úr mondja: “Aki egyszer hacker, az mindig hacker marad”.