Эксперт Колесников: юридическое давление на исследователей не решит кризис disclosure-программ
изображение: grok
Сергей Колесников, директор продуктового портфеля и сервисов CICADA8, прокомментировал для CISOCLUB конфликт вокруг публикации zero-day уязвимостей Windows и заявил, что ситуация отражает более масштабные изменения на рынке программ раскрытия уязвимостей.
По словам эксперта, сегодня многие крупные технологические компании и bug bounty-платформы вынуждены пересматривать свои процессы из-за распространения инструментов искусственного интеллекта. Они помогают исследователям быстрее находить проблемы безопасности, но одновременно приводят к резкому росту числа низкокачественных отчётов.
«Ситуация вокруг Microsoft отражает более широкий тренд: многие крупные компании и bug bounty-платформы сейчас пересматривают свои программы раскрытия уязвимостей. На рынок сильно повлияли AI-инструменты: они помогают хорошим исследователям быстрее находить и описывать баги, но одновременно породили поток низкокачественных AI-generated reports — отчётов с галлюцинациями, неподтверждёнными PoC и теоретическими сценариями без реального impact», — отметил Сергей Колесников.
Он считает, что вендорам действительно требуется время для адаптации своих программ взаимодействия с исследовательским сообществом. Речь идёт о совершенствовании процедур проверки отчётов, ужесточении требований к воспроизводимости уязвимостей и улучшении механизмов фильтрации поступающих материалов.
«С одной стороны, компаниям действительно нужно время, чтобы адаптировать процессы: обновить правила bug bounty, внедрить фильтрацию, ужесточить требования к воспроизводимости и научиться отделять AI-slop от добросовестных исследований», — заявил эксперт.
В качестве примера Сергей Колесников привёл изменения в программах Google, где всё больше внимания уделяется сложным цепочкам атак и качественным доказательствам существования проблемы.
«Мы уже видим такие изменения у Google: компания перестраивает свои VRP, повышая ценность сложных и реально опасных цепочек атак, но снижая значимость массовых низкосложных отчётов. Google всё больше требует от исследователей конкретный reproducer, проверяемый PoC, артефакты для валидации и доказанный impact, а не просто длинное описание потенциальной проблемы», — рассказал он.
При этом эксперт отметил, что проблемы в сфере coordinated disclosure существуют уже сейчас, а не являются гипотетическим риском будущего. По его мнению, попытки решить их с помощью юридического давления способны лишь усилить конфликт между исследователями и вендорами.
«Но с другой стороны, это уже текущая операционная проблема, а не абстрактный риск будущего. Если процесс coordinated disclosure ломается, юридическое давление на исследователей не решает проблему, а только подрывает доверие», — подчеркнул Сергей Колесников.
Он напомнил, что похожие ситуации уже возникали и у других крупных технологических компаний. В частности, исследователи неоднократно критиковали Apple за длительные сроки рассмотрения обращений и спорные решения в рамках программы Apple Security Bounty.
По мнению Сергея Колесникова, главным направлением развития должно стать совершенствование самих процессов взаимодействия с исследовательским сообществом.
«Поэтому главный вывод не в том, что исследователи всегда правы, а в том, что вендорам нужно быстро менять саму систему: прозрачнее работать с репортами, давать понятные SLA, требовать качественные PoC, масштабировать triage и сохранять нормальный диалог с исследовательским сообществом. Иначе часть исследователей будет всё чаще выбирать публичное раскрытие или альтернативные рынки для zero-day», — заключил Сергей Колесников.
