“Rác AI” tràn hệ thống săn lỗi bảo mật: Bug bounty toàn cầu đối mặt khủng hoảng quá tải
Làn sóng báo cáo lỗi “rác AI” đang bùng phát trong các chương trình bug bounty toàn cầu, khiến hệ thống săn lỗi bảo mật bị quá tải, gia tăng chi phí vận hành và làm dấy lên lo ngại về nguy cơ bỏ sót các lỗ hổng nghiêm trọng trong kỷ nguyên trí tuệ nhân tạo.
Sự phát triển nhanh của trí tuệ nhân tạo (AI) đang tạo ra một vấn đề mới trong ngành an ninh mạng: các chương trình “săn lỗi nhận thưởng” (bug bounty) bị quá tải bởi hàng loạt báo cáo lỗi giả, được tạo ra bằng AI nhưng không có giá trị kỹ thuật thực tế.
Theo Financial Times, vấn đề bắt đầu từ việc một số người dùng không có chuyên môn sâu đã sử dụng AI tạo sinh như ChatGPT để tự động viết báo cáo lỗ hổng bảo mật. Thay vì tự tìm lỗi thật trong hệ thống, họ để AI “bịa” ra các lỗi có vẻ hợp lý rồi gửi hàng loạt cho doanh nghiệp để nhận thưởng. Hiện tượng này được gọi là “AI slop”, có thể hiểu đơn giản là nội dung rác do AI tạo ra hàng loạt.
Hệ quả là các công ty công nghệ phải tiêu tốn rất nhiều thời gian để kiểm tra từng báo cáo. Financial Times cho biết các nhóm kỹ sư bảo mật đang bị “ngập” trong công việc sàng lọc, làm tăng chi phí vận hành và giảm hiệu quả xử lý các lỗ hổng thật.
Theo Reuters, vấn đề nghiêm trọng hơn ở chỗ nó tạo ra rủi ro an ninh thực sự. Khi đội ngũ bảo mật bị quá tải bởi các báo cáo giả, họ có thể bỏ sót những lỗ hổng thật sự nguy hiểm (ví dụ như zero-day – lỗi chưa từng được phát hiện). Điều này khiến hệ thống phòng thủ của doanh nghiệp trở nên dễ bị tấn công hơn.
Ở góc độ thị trường, Bloomberg cho rằng các nền tảng trung gian như HackerOne hay Bugcrowd – nơi kết nối “hacker mũ trắng” với doanh nghiệp – đang chịu áp lực lớn. Họ vừa phải duy trì số lượng người tham gia, vừa phải đảm bảo chất lượng báo cáo, trong khi lượng nội dung do AI tạo ra đang tăng rất nhanh.
Bug bounty vốn là mô hình giúp các công ty lớn như Microsoft, Apple hay nhiều tổ chức chính phủ thuê cộng đồng chuyên gia bảo mật bên ngoài để tìm lỗi hệ thống. Tuy nhiên, khi AI bị lạm dụng, cơ chế này đang bị “nhiễu” nặng, làm giảm độ tin cậy của toàn hệ thống.
Theo Reuters, một số chuyên gia lo ngại xu hướng này có thể khiến doanh nghiệp thu hẹp chương trình bug bounty mở, chuyển sang mô hình “mời riêng” (chỉ cho phép nhóm chuyên gia được xác thực tham gia). Điều này giúp giảm rác nhưng lại làm giảm cơ hội cho cộng đồng nghiên cứu bảo mật độc lập.
Trong dài hạn, theo các phân tích công nghệ từ TechCrunch và Wired, ngành an ninh mạng sẽ phải dùng chính AI để giải quyết vấn đề này. Các hệ thống lọc tự động sẽ được xây dựng để nhận diện báo cáo do AI tạo ra, đồng thời yêu cầu người tham gia cung cấp bằng chứng kỹ thuật rõ ràng hơn thay vì chỉ mô tả bằng văn bản.
Hiện tượng “rác AI” đang biến một cơ chế bảo mật quan trọng thành một hệ thống bị quá tải thông tin. Nếu không có biện pháp kiểm soát hiệu quả, bug bounty – vốn là tuyến phòng thủ quan trọng của Internet – có thể bị suy yếu ngay trong chính kỷ nguyên AI.
