Hacker-One is niet langer bruikbaar en meer zullen volgen

Al eerder heeft ITchannelPRO gewezen op de toenemend negatieve ervaringen van Daniel Stenberg met Hacker-One. Ooit een platform dat mogelijke problemen met software verzamelde en doorzette naar de makers van de software. Als waarnemingen klopten, dan kregen de melders via Hacker-One daarvoor een vergoeding. Een van de pluspunten van Hacker-One – en er zijn nog meer van die soort platformen – zou moeten zijn dat makers van software niet overladen worden met vage meldingen via alle mogelijke kanalen over gebreken, lekken, fouten en dergelijke. Het platform hanteert regels voor registratie van de “onderzoeker” en de manier waarop die zijn bevindingen moet aanleveren. Die standaardisatie heeft lang gewerkt. Maar toen kwam AI.

AI slop

Stenberg (de man achter curl) zag met velen anderen dat een nieuwe lichting “onderzoekers” de markt heeft betreden. Niet gehinderd door enige kennis laten zijn AI tools los op programma’s. Die zelfde tools genereren vervolgens “onderzoeksbevindingen” die daarna bij Hacker-One over de schutting worden gegooid. Aangezien aan de vormvereiste is voldaan schuift Hacker-One door naar de softwaremakers. Die krijgen de meest stupide en nietszeggende AI slop onder ogen. Online zijn er tientallen, zo niet honderden, voorbeelden te vinden van bagger waar Stenberg en iedereen die met een bug bounty programma werkt te maken krijgt.

AI valt genadeloos door de mand

De AI gebruikers denken echt dat AI in staat is fouten te ontdekken en dat zou een beloning moeten opleveren. In werkelijkheid is het verhaal anders. Iedereen die met AI prutst valt genadeloos door de mand. Alle karakteristieken van teksten en antwoorden op vragen die door AI zijn gegenereerd zijn namelijk wel bekend. Als voor curl in de eerste 12 dagen van dit jaar als 20 rapporten – allemaal AI slop – via Hacker-One zijn ontvangen dan geeft dat aan hoe onhoudbaar de situatie is geworden. Stenberg is de eerste die daar open over communiceert en meer zullen volgen. AI heeft bug bounty programma’s kapot gemaakt. Hacker-One en consorten zullen stoppen, omvallen of iets anders gaan doen. Deze ontwikkeling staat haaks op alle praatjes dat AI software veiliger maakt. De massaliteit en slop (de bagger) maken overzicht en controle onmogelijk. Behalve als je besluit AI ver buiten de deur te houden