AI mulai “menggali羊毛”: Node.js dipaksa berhenti bounty karena laporan kerentanan palsu dari AI

AI bisa menulis kode, bisa meninjau kode, sekarang ia juga bisa menulis laporan kerentanan.
13 April, HackerOne secara resmi menghentikan “Program Bounty Kerentanan Internet” (IBB) yang telah berjalan selama 14 tahun, dan tidak lagi menerima laporan kerentanan baru. Alasan luarnya adalah penyesuaian strategi platform, alasan sebenarnya hanya satu: laporan kerentanan palsu yang dihasilkan AI membuat para pemelihara kewalahan.
HackerOne mengatakan: Alat AI mempercepat penemuan kerentanan jauh melebihi kecepatan perbaikannya, platform dipenuhi oleh banyak laporan berkualitas rendah, laporan palsu bahkan palsu, keseimbangan komunitas open source benar-benar terganggu.
Dan yang paling terdampak pertama adalah Node.js.
Setelah itu, resmi diumumkan oleh Node.js: Karena penghentian operasi program bounty HackerOne, proyek akan berhenti memberikan hadiah kepada pelapor kerentanan. Sebagai proyek open source yang sepenuhnya didorong oleh sukarelawan komunitas, Node.js tidak memiliki anggaran mandiri untuk menjaga dana bounty, begitu sumber dana eksternal hilang, bounty langsung nol.
Faktanya, sebelum HackerOne resmi berhenti, Node.js sudah dipaksa melakukan penyesuaian. Perusahaan keamanan Socket menunjukkan bahwa Node.js sebelumnya telah meningkatkan ambang batas pengajuan secara signifikan, tetapi tidak mampu menahan serbuan gelombang alat AI—setiap kali menerima laporan, sukarelawan pemelihara harus menghabiskan banyak waktu untuk memverifikasi, dan hasilnya sembilan dari sepuluh laporan dibuat oleh AI.
Selain itu, Node.js bukan yang pertama jatuh.
Pada Januari tahun ini, pendiri cURL Daniel Stenberg mengumumkan penghentian program bounty kerentanannya, alasan yang sama: dalam satu minggu, tim menerima 7 laporan “kerentanan palsu” yang dibuat AI selama 16 jam, tampak bahasa formal dan struktur lengkap, terlihat seperti asli, tetapi setelah diverifikasi secara manual semuanya adalah sampah. Dia menyebut konten semacam ini sebagai “AI Slop”—sampah redundan yang tampaknya masuk akal tetapi sebenarnya tidak berguna.
Keanehan dari kejadian ini adalah: mekanisme bounty kerentanan awalnya dimaksudkan untuk mendorong penelitian keamanan berkualitas tinggi dengan uang nyata, tetapi AI menurunkan ambang pengajuan laporan menjadi nol—menggunakan AI untuk menjalankan satu kali kode sumber, secara otomatis menghasilkan puluhan laporan yang tampak meyakinkan, mengirimkannya dengan mata tertutup, dan jika satu dari mereka kebetulan benar, maka akan mendapatkan keuntungan. Pemelihara tenggelam dalam laporan sampah, kerentanan yang sebenarnya malah tidak punya waktu untuk diperiksa. $ETH