Використання ШІ для пошуку багів авторизації

Програми bug bounty закриваються. Nextcloud припинив виплачувати винагороди через низькоякісні звіти від ШІ. Mattermost завершив свою програму. The Internet Bug Bounty скоротив виплати на 80 відсотків.

Проблема не в тому, що ШІ не може знаходити баги. Проблема в тому, що ШІ створює багато звітів, які виглядають справжніми, але є помилковими. Команди тріажу тонуть у цьому шумі.

У 2026 році навичка, яка вам знадобиться, — це не пошук багів. Модель надасть вам п'ятдесят ідей ще до обіду. Справжня навичка полягає в тому, щоб довести, чому сорок дев'ять із них є хибними. Вам потрібен метод, який генерує правильні негативні результати.

Використовуйте цей двоступеневий метод для коду із відкритим доступом до вихідного коду:

  1. Fan-out (Дешеві моделі) Розділіть поверхню авторизації на невеликі частини. Читайте кожну частину паралельно. Шукайте порушені правила. Шукайте місця, де об'єкт завантажується без перевірки власника. Шукайте шляхи, що оминають механізми безпеки. Зосередьтеся на пошуку всіх можливих зачіпок. Очікуйте багато хибнопозитивних результатів.

  2. Adversarial Verification (Дорогі моделі) Візьміть кожну зачіпку і спробуйте її спростувати. Починайте з припущення, що зачіпка хибна. Зачіпка виживає лише тоді, коли ви можете показати конкретні рядки коду, що доводять відсутність перевірки безпеки. Ви повинні довести, що шлях є досяжним і що ніщо інше не перешкоджає атаці.

Найважливішим результатом є список спростувань. Список причин, чому щось НЕ є багом, викликає довіру у тріажерів.

Я протестував Ory Kratos, сервер ідентифікації. Система обробляє чутливі дії, такі як зміна паролів або електронної пошти. Це зона високого ризику.

Перший етап виявив зачіпку. Вона виглядала як серйозна вада в тому, як система обробляє OIDC-потоки. Інструмент зіпоставлення шаблонів назвав би це багом високої критичності.

Я використав другий етап для перевірки. Я виявив, що відсутність перевірки не призводить до експлуатації. Система використовує живі сесійні куки та повторно перевіряє привілеї на фінальному етапі. Вада не була критичною для роботи системи.

Якби я повідомив про це, я б втратив авторитет. Справжня цінність полягала в упевненості залишитися мовчавним.

Той самий метод виявив справжній баг в іншому об'єкті. Другорядний вхідний шлях забув дублювати перевірку авторизації. Користувач міг увійти через «бічні двері», навіть після того, як його доступ було відкликано.

Переможці в пошуку багів зосереджуватимуться на сигналі, а не на обсязі. Використовуйте ШІ, щоб читати більше коду, ніж може людина. Потім використовуйте ШІ, щоб спростувати власні припущення, перш ніж надсилати звіт.

Джерело: https://dev.to/fdjedkdlsspec/using-ai-to-find-authorization-bugs-and-to-prove-the-ones-that-arent-real-3m7d

Додаткова спільнота для навчання: https://t.me/GyaanSetuAi