Kutumia AI kutafuta hitilafu za ruhusa (authorization bugs)
Programu za bug bounty zinafungwa. Nextcloud ilisitisha zawadi za malipo kwa sababu ya ripoti za AI zenye ubora mdogo. Mattermost ilimaliza programu yake. Internet Bug Bounty ilipunguza malipo kwa asilimia 80.
Tatizo si kwamba AI haiwezi kupata hitilafu. Tatizo ni kwamba AI inatengeneza ripoti nyingi zinazoonekana kuwa za kweli lakini ni za uongo. Timu za triage zinazama kwenye kelele hizi.
Mwaka 2026, ujuzi unaohitaji si kutafuta hitilafu. Model itakupa mawazo hamsini kabla ya chakula cha mchana. Ujuzi halisi ni kuthibitisha kwa nini arobaini na tisa kati yake ni za uongo. Unahitaji mbinu inayozalisha matokeo sahihi ya "hapana" (correct negatives).
Tumia mbinu hii ya hatua mbili kwa kodi zinazopatikana (source-available code):
Fan-out (Model za Bei Nafuu) Gawanya eneo la ruhusa (authorization surface) katika sehemu ndogo ndogo. Soma kila sehemu kwa wakati mmoja. Tafuta sheria zilizovunjika. Tafuta sehemu ambapo kitu kinapakia bila ukaguzi wa mmiliki. Tafuta njia zinazopita milango ya usalama. Lenga kupata kila uwezekano wa ushahidi (lead). Tarajia matokeo mengi ya uongo (false positives).
Adversarial Verification (Model za Gharama Kubwa) Chukua kila ushahidi na ujaribu kuupinga. Anza kwa dhana kwamba ushahidi huo ni wa uongo. Ushahidi unabaki tu ikiwa unaweza kuonyesha mistari kamili ya kodi inayothibitisha kuwa mlinzi wa usalama hayupo. Lazima uthibitishe kuwa njia hiyo inafikika na hakuna kingine kinachozuia shambulio.
Matokeo muhimu zaidi ni orodha ya mashtaka (refutations). Orodha ya sababu kwa nini kitu SI hitilafu hujenga imani kwa watatuzi (triagers).
Nilijaribu Ory Kratos, seva ya utambulisho (identity server). Mfumo unashughulikia vitendo nyeti kama kubadilisha nywila au barua pepe. Hii ni eneo lenye hatari kubwa.
Hatua ya kwanza ilipata ushahidi. Ilionekana kama kasoro kubwa katika jinsi mfumo unavyoshughulikia mtiririko wa OIDC. Chombo cha kutambua mifumo (pattern-matching tool) kingeiita hii kuwa hitilafu yenye ukali mkubwa (high-severity bug).
Nilitumia hatua ya pili kuithibitisha. Niligundua kuwa ukaguzi uliokosekana haukupelekea udukuzi (exploit). Mfumo unatumia kuki za kikao (session cookies) na hukagua tena mamlaka katika hatua ya mwisho. Kasoro hiyo haikuwa ya msingi.
Kama ningetoa ripoti hiyo, ningepoteza uaminifu. Thamani halisi ilikuwa ujasiri wa kukaa kimya.
Mbinu hiyo hiyo ilipata hitilafu halisi katika lengo tofauti. Njia ya pili ya kuingilia ilisahau kuiga ukaguzi wa ruhusa. Mtumiaji angeweza kuingia kupitia mlango wa pembeni hata baada ya ufikiaji wake kufutwa.
Washindi katika utafutaji wa hitilafu watajikita kwenye ishara (signal), si wingi. Tumia AI kusoma kodi nyingi zaidi kuliko binadamu anavyoweza. Kisha tumia AI kujithibitishia kuwa uko makosa kabla ya kuwasilisha ripoti.
Jumuiya ya kujifunza ya hiari: https://t.me/GyaanSetuAi
