Báo cáo lỗi giả mạo từ AI (AI slop) ngày càng xuất hiện dày đặc trên các nền tảng bug bounty. Nhiều dự án và công ty lớn đã lên tiếng về tác động tiêu cực của trào lưu này trong lĩnh vực an ninh mạng.
AI slop là gì và ảnh hưởng tới các chương trình bug bounty
Khái niệm AI slop chỉ những nội dung kém chất lượng được tạo ra từ các Large Language Model (LLM), bao gồm cả hình ảnh, video và văn bản. Trong lĩnh vực an ninh mạng, AI slop xuất hiện khi các báo cáo về lỗ hổng bảo mật do AI tự động tạo ra hoàn toàn không có thật nhưng trông rất chuyên nghiệp. Những report này thường được gửi đến các nền tảng bug bounty, gây khó khăn cho quá trình đánh giá tính xác thực của các lỗ hổng.
Sự bùng nổ báo cáo lỗi giả mạo do AI
- Nhiều chuyên gia an ninh mạng nhận định rằng các report lỗi trông hợp lý nhưng thực ra được "bịa đặt" bởi AI.
- Vlad Ionescu, CTO RunSybil, cho biết những báo cáo này thường được sao chép và dán lên các nền tảng bug bounty, khiến người kiểm duyệt mất nhiều thời gian xác thực.
- Một trường hợp điển hình là dự án mã nguồn mở Curl đã nhận phải báo cáo bảo mật giả mạo được phát hiện bởi AI.
Ảnh hưởng tới cộng đồng và các nền tảng lớn
- Nhiều dự án nguồn mở, như CycloneDX, đã phải dừng chương trình bug bounty do nhận quá nhiều report AI slop.
- Một số nền tảng lớn như HackerOne, Bugcrowd ghi nhận sự gia tăng rõ rệt số lượng báo cáo lỗi không có thật.
- Nhiều báo cáo có nội dung mơ hồ, không có tính ứng dụng thực tiễn hoặc hoàn toàn là ngụy tạo do LLM hallucination.
Đáp trả và giải pháp từ các nền tảng bug bounty
Cách cộng đồng xử lý report AI slop
Nhiều đội ngũ kiểm duyệt sử dụng cả người thật và hệ thống máy học để loại trừ báo cáo 'rác'. Michiel Prins (HackerOne) cho biết những báo cáo chứa lỗi bịa đặt hoặc kỹ thuật không rõ ràng đều bị xem là spam và từ chối.
Bugcrowd ghi nhận số lượng báo cáo tăng nhưng cho rằng chưa ảnh hưởng lớn đến chất lượng chung. Các chuyên gia vẫn phải truy xét manual từng báo cáo để đảm bảo phát hiện lỗi thật.
Thống kê và biện pháp của các công ty lớn
- Mozilla khẳng định chưa thấy gia tăng về lượng report AI slop, tỷ lệ từ chối luôn ổn định ở mức dưới 10% mỗi tháng.
- Microsoft, Meta từ chối bình luận; Google không phản hồi đề nghị của TechCrunch.
Công nghệ AI hỗ trợ kiểm duyệt báo cáo bug bounty
Trước diễn biến mới, các nền tảng lớn đang đẩy mạnh giải pháp sử dụng AI để hỗ trợ lọc và phân loại báo cáo. HackerOne vừa ra mắt hệ thống Hai Triage, kết hợp AI và chuyên gia đánh giá con người để loại bỏ báo cáo trùng lặp, cảnh báo mối đe dọa thật và giảm tải cho đội kiểm duyệt.
Sự cạnh tranh giữa AI tạo báo cáo giả và AI kiểm duyệt hứa hẹn vẫn còn diễn biến phức tạp trong thời gian tới.
Hiện tượng AI slop đang gây khó khăn đáng kể cho các chương trình bug bounty và cộng đồng an ninh mạng. Việc kết hợp giữa kiểm duyệt bằng AI và con người được xem là hướng đi mới để đảm bảo chất lượng báo cáo. Nhiều nền tảng, dự án vẫn tiếp tục nâng cao cảnh giác trước báo cáo lỗi do AI tự động tạo ra.