AI時代がバグ発見競争を激化させる

脆弱性開示とバグ報奨金プログラムは、10年前から主流となり始め、機関が研究結果に対して敵対的だった姿勢から、情報提供と修正リリースが必要だと認める方向へのパラダイムシフトを表している。Appleは2016年にバグ報奨金プログラムを開始し、最高報酬は20万ドルだったが、2019年に100万ドル、昨年は200万ドルまで上昇した。現在、自律的AIモデルがソフトウェア脆弱性の特定と悪用手法の開発により熟達し、脆弱性開示プログラムには大量の報告が寄せられている。独立セキュリティ研究者のJoseph Thackerは、AIを活用したバグ発見手法を開発し、昨年同時期の3倍のバグを報告している。彼は「Googleのような企業は昨年の2〜10倍のバグ報奨金を支払うことになるだろう」と予測している。大手テック企業はこの圧力に対応できるが、多くの企業は困難を抱えている。現在はAIエージェントが低・中レベルの脆弱性を大量発見しているが、来年はそれらが既に発見済みとなり、報告数は減少し、一部企業は報酬を再び引き上げる可能性がある。セキュリティ研究者Himanshu Anandは「90日間の責任ある開示期間は、バグ発見者が稀で悪用手法の開発が遅い世界のために構築された。その世界はもう存在しない。LLMが両方のタイムラインを圧縮した」と指摘している。