L'IA Individua Bug in Pochi Minuti. Dimostrare che Sono Reali Richiede Ancora un Umano.
I team di sicurezza sono sommersi da rapporti sulle vulnerabilità generati dall'IA che sembrano convincenti ma crollano non appena qualcuno tenta di riprodurli. La vecchia regola rimane valida: mostra il tuo lavoro oppure abbandonalo.

Punti chiave
- Gli strumenti di sicurezza assistiti da IA possono scansionare un'intera base di codice in pochi minuti, un compito che una volta richiedeva a un analista esperto una settimana.
- Le piattaforme di bug bounty, che pagano premi in denaro ai ricercatori che trovano difetti software reali, stanno segnalando un'ondata di rapporti generati dall'IA che si rivelano essere fabricazioni.
- Il manutentore del progetto open-source curl ha descritto pubblicamente di essere sommerso da rapporti sui bug dall'aspetto lucido che non reggono alla prova dei test.
- Un risultato di sicurezza valido richiede una dimostrazione funzionante, non solo una descrizione scritta, ed è sempre stato così.
- I piccoli imprenditori che ricevono email non richieste su "falle critiche" dovrebbero chiedere una dimostrazione dal vivo su un account di prova prima di intraprendere qualsiasi azione.
Come riportato per primo da ThreatVectr, il mondo della ricerca sulla sicurezza sta affrontando duramente un problema semplice: gli strumenti IA sono molto bravi a sembrare sicuri, e la sicurezza non è la stessa cosa che essere corretti.
Ecco come appare effettivamente il nuovo flusso di lavoro. Un ricercatore di sicurezza apre uno strumento assistito da IA, che utilizza un modello linguistico di grandi dimensioni (lo stesso tipo di tecnologia che alimenta chatbot come ChatGPT) per leggere il codice software. Lo strumento riassume cosa fa il programma, contrassegna le funzioni che sembrano sospette e persino elabora attacchi di esempio, chiamati payload, che il ricercatore può lanciare su un sistema live. Quello che una volta richiedeva giorni ora richiede un pomeriggio.
Questa velocità è genuinamente utile. Nessuno sta discutendo questo aspetto.
Il problema è quello che accade dopo. Un modello linguistico di grandi dimensioni non sa quando sta indovinando. Descriverà una vulnerabilità in un linguaggio fiducioso e tecnico, inventerà un nome di funzione che non esiste nel codice reale e proporrà un attacco che non è mai stato testato su un sistema reale. Ogni uno di questi rapporti atterra poi nella casella di posta di qualcuno.
Quale costo ha questo per le persone reali?
Ha un costo in termini di tempo, che è l'unica cosa che i team di sicurezza hanno meno a disposizione. Ogni rapporto falso deve essere sottoposto a triage, il che significa che un analista umano deve sedersi, leggerlo attentamente, cercare di riprodurre il difetto descritto e poi rispondere spiegando perché non esiste. Moltiplicalo per centinaia di invii generati dall'IA ogni settimana e avrai consumato la risorsa che stavi cercando di proteggere.
I volontari che mantengono software open-source popolare, strumenti che milioni di persone e aziende utilizzano ogni giorno, sentono questo più duramente. Il manutentore di curl, uno strumento di trasferimento dati ampiamente utilizzato, ha dichiarato pubblicamente che le allucinazioni generate dall'IA (fabricazioni che un modello produce con totale sicurezza) stanno mangiando il tempo disponibile per il lavoro reale.
Le piattaforme di bug bounty stanno segnalando lo stesso modello. Paga i ricercatori per i veri risultati e improvvisamente c'è una ragione finanziaria per inondare la coda di ipotesi redatte dall'IA.
Lo standard che conta davvero non è cambiato. Un risultato valido significa una dimostrazione funzionante: passaggi esatti, versione esatta del software, e idealmente una proof-of-concept, un breve pezzo di codice o una sequenza di input specifica che attiva in modo affidabile il difetto. La prosa senza prova è solo un'ipotesi in camice da laboratorio.
L'unica conclusione onesta: se qualcuno invia un'email alla tua azienda affermando di aver trovato una falla critica nel tuo sito web, chiedigli di dimostrarla su un ambiente di prova. I ricercatori legittimi si aspettano quella richiesta. Le persone che cercano una vincita veloce raramente la seguono.



