Ha mesterséges intelligencia eszközökkel találtál hibát, akkor nagy valószínűséggel már más is megtalálta – írta a hétvégén egy új Linux-kernel bejelentése kapcsán Linus Torvalds. A mondat jól összefoglalja a problémát, amivel nemcsak az open source projektek koordinátorai, hanem egyre több szoftvergyártó cég is szembesül. Torvalds a posztban arra panaszkodik, hogy mivel a biztonsági levelezőlistákra kismilliószor küldik be ugyanazt az MI-felfedezte hibát, az operátorok nem vagy csak sokkal kevesebbet tudnak lényegi dolgokkal foglalkozni.

A bug bounty programok is ezzel küzdenek

A Financial Times számszerűsítette is a probléma mértékét: tavalyhoz képest több mint 70 százalékkal nőtt a rossz minőségű, MI generálta sebezhetőségi bejelentések száma. A növekmény jelentős része azonban szemét, ami vagy egy már bejelentett hiba ismétlése, vagy értelmezhetetlen, reprodukálhatatlan probléma.

A növekedést a HackerOne és Bugcrowd statisztikái is alátámasztják: 2025 elején még csupán 1,9 millió hibajelentést kaptak havonta, most átlagosan 3,2 milliót. A HackerOne egy blogbejegyzése szerint a bejelentések száma idén januártól lódult meg látványosan. Valószínűleg az is az MI számlájára írható, hogy az aktív vállalati fejvadászprogramok száma is ütemesen gyarapszik.

A hibajelentések számának növekedése

(Forrás: HackerOne)

Bár ezek lehetnének pozitív jelenségek, összességében inkább ellentmondásosak. A bug bounty kezdeményezések ugyanis arra épülnek, hogy hatékonyabbak – gyorsabbak és olcsóbbak –, mint egy belsős csapat fenntartása erre a célra. Ám az MI olyan mértékű zajt tud generál, hogy az már veszélyezteti  ezt a hatékonyságot. A fals vagy már ismert hibák sokasága leköti a biztonsági csapatok erőforrásait, és eltereli a figyelmet a valódi fenyegetésekről.

A cégek egy része szigorúbb előszűrést tervez bevezetni, például kötelezővé tenné, hogy a bejelentő mellékeljen a sérülékenységhez proof‑of‑concept videót. Más szervezetek MI-vel próbálják kiszűrni azokat a bejelentéseket, melyek már rendelkeznek CVE azonosítóval.

Az ilyen előszűrés persze nagy valószínűséggel új bizonytalanságokat visz a rendszerbe.

MI, a hármas kockázat

A HackerOne más kockázati tényezőt is említ. A hibajelentések számának a növekedése miatt egy év alatt 21-szeresére nőtt a megoldatlan sebezhetőségek száma, ezen belül kritikus besorolásúak esetében 25-szörös a növekmény. Ez azt is világossá teszi, hogy mekkora a különbség a felfedezés és a javítás sebessége között, azaz mekkora hendikeppel indulnak a biztonsági szakemberek a kiberbűnözőkkel szemben.

A támadók ugyanazokat az MI-alapú felderítő eszközöket használhatják, mint a hibavadászok, és ha rövidül is általánosságban a kihasználásra lehetőséget adó idő (a HackerOne statisztikái szerint), a bűnözők egyre hatékonyabban tudják kihasználni ezt a szűkebb időablakot.

A szakemberek rövid távú javaslata az, hogy az általános kockázatcsökkentésre kell koncentrálni. Hosszabb távon azonban elkerülhetetlen a védelmi erőforrások növelése, illetve megerősítése MI-támogatással.

Torvalds érzékeny pontra tapintott, de valószínűleg téved abban, ha teljes mértékben elutasítja az MI szerepét a hibakeresésben. Egy közeli munkatársa, a Linux-kernel karbantartásán régóta dolgozó Greg Kroah-Hartman egy a tavaszi KubeCon Europe-on adott interjújában arról beszélt, hogy MI-támogatással sokkal jobb minőségű kódokat lehet generálni, mert sokkal több hibát lehet már a fejlesztési fázisban kiszűrni – de minden esetben fontos az emberek által elvégzett tisztítási és integrációs munka.

És a tanulság? Ha a biztonsággal összefüggésben kerül szóba az MI, akkor mindig jusson eszünkbe a Bugcrowd egyik szlogenje: "A mesterséges intelligenciának három fontos szerepe van: eszköz, célpont és fenyegetés." És írjuk fel a falra, hogy mindig szem előtt legyen!