De cyberbeveiligingsindustrie wordt geconfronteerd met een plotselinge en enorme toename van softwarekwetsbaarheden, een fenomeen dat wordt omschreven als een ‘zero-day bug discovery-crisis’. Gedreven door de snelle vooruitgang van kunstmatige intelligentie, overtreft het enorme aantal gerapporteerde bugs het vermogen van ontwikkelaars en beveiligingsteams om ze op te lossen.
Een schaalcrisis
De omvang van deze toestroom is ongekend. Gegevens van het Zero Day Initiative, ‘s werelds grootste leveranciersonafhankelijke bugbountyprogramma, laten deze maand een duizelingwekkende 490% stijging zien in het aantal inzendingen vergeleken met dezelfde periode vorig jaar.
Dit is niet alleen een kwestie van meer rapporten; het is een fundamentele verandering in de manier waarop kwetsbaarheden worden gevonden. Deze ‘vloedgolf’ dwingt organisaties drastische beslissingen te nemen:
– Het Internet Bug Bounty-programma heeft nieuwe inzendingen volledig stopgezet om de werkdruk te beheersen.
– cURL, een essentieel stuk open-sourcesoftware, heeft zijn premieprogramma stopgezet om “ruis” tegen te gaan en de mentale tol van vrijwillige beheerders te verminderen.
– Beveiligingsteams worstelen met ‘triage’: het proces waarbij duizenden rapporten worden doorzocht om te bepalen welke echte bedreigingen zijn en welke ‘AI-slop’ zijn (geautomatiseerde rapporten van lage kwaliteit).
Van ‘lawaai’ naar zeer ernstige bedreigingen
Aanvankelijk vreesden experts dat AI vooral rapporten van ‘lage kwaliteit’ zou genereren: geautomatiseerde, onzinnige inzendingen die de tijd van ontwikkelaars verspilden. De trend verschuift echter naar iets veel gevaarlijkers.
Daniel Stenberg, hoofdontwikkelaar van cURL, merkt een cruciale ommekeer op: hoewel het aantal rapporten hoog is, neemt de ernst en kwaliteit van deze bugs ook toe. Hij meldt dat het aantal bevestigde kwetsbaarheden nu het pre-AI-niveau evenaart of zelfs overtreft.
Deze verschuiving wordt geïllustreerd door de recente ontwikkeling van Anthropic, Claude Mythos. Het AI-model demonstreerde een geavanceerd vermogen om zero-day-kwetsbaarheden in alle grote besturingssystemen autonoom te ontdekken en te exploiteren. Anthropic heeft onthuld dat ze zoveel bugs hebben gevonden dat ze alleen de ernstigste als eerste kunnen onthullen om overweldigende beheerders te voorkomen. Ze merkten ook een ontnuchterende statistiek op: minder dan 1% van de kwetsbaarheden die ze ontdekten, zijn volledig gepatcht door hun respectievelijke beheerders.
De dynamiek van de “wapenwedloop”.
Deze stijging wijst op een groeiende onevenwichtigheid in het cyberbeveiligingslandschap. Hoewel AI hulpmiddelen biedt voor verdedigers, verhoogt het ook de productiviteit van dreigingsactoren aanzienlijk.
| Aspect | Impact van AI |
|---|---|
| Ontdekkingssnelheid | Exponentieel versnellen; bugs sneller vinden dan mensen ze kunnen patchen. |
| Ernst van de kwetsbaarheid | Van een laag ‘ruisniveau’ naar kritische, exploiteerbare zero-day-fouten. |
| ** Hulpbronbelasting ** | Overbelasting van open source-vrijwilligers en zelfs grote bedrijven als Microsoft. |
| Triageproces | AI nodig hebben om AI te bestrijden; bedrijven gebruiken nu modellen om ‘AI-slop’ eruit te filteren. |
Microsoft heeft onlangs zijn op een na grootste maandelijkse beveiligingsupdate in de geschiedenis uitgebracht, waarbij veel experts wijzen op AI-gestuurde ontdekking als waarschijnlijke oorzaak. Hoewel het bedrijf voorzichtig is geweest om dit uitsluitend aan AI toe te schrijven, is de correlatie moeilijk te negeren.
Het pad voorwaarts: de verdediging opschalen
De sector zit momenteel gevangen in een reactieve lus. Om de stroom van door AI gegenereerde bugs tegen te gaan, worden beveiligingsorganisaties gedwongen om AI zelf te gebruiken om binnenkomende rapporten te beoordelen en te filteren.
De centrale uitdaging is er een van snelheid. Als de snelheid waarmee onderzoekers (en hackers) kwetsbaarheden vinden groter blijft dan de snelheid waarmee ontwikkelaars patches kunnen schrijven, testen en implementeren, zullen de kansen voor aanvallers groter worden.
“We moeten uitzoeken hoe we onze oplossingen kunnen opschalen, net zo snel als onderzoekers (en aanvallers) hun bevindingen opschalen”, waarschuwt Dustin Childs van het Zero Day Initiative.
Conclusie
De opkomst van AI-gestuurde ontdekking van kwetsbaarheden heeft een knelpunt in de softwarebeveiliging gecreëerd, waarbij de enorme hoeveelheid kritieke bugs de wereldwijde patchinfrastructuur dreigt te overweldigen. Het succes in dit nieuwe tijdperk zal afhangen van de vraag of de industrie haar defensieve capaciteiten net zo snel kan opschalen als AI haar offensieve capaciteiten kan opschalen.
