AI khiến chương trình bug bounty tiền mã hóa quá tải với báo cáo lỗi ảo

Theo CoinDesk đưa tin ngày 21 (giờ địa phương), làn sóng *“AI”* đang khiến các chương trình *“bug bounty”* trong lĩnh vực *“tiền mã hóa”* rơi vào tình trạng quá tải. Số lượng báo cáo lỗi tăng vọt nhờ công cụ tự động, nhưng việc nhận diện đâu là lỗ hổng thực sự, đâu là báo cáo sai hoặc “ảo giác” do AI tạo ra lại khó khăn hơn rất nhiều.

Theo chia sẻ của đồng CEO Cosmos Labs, Barry Plunkett, *“AI”* đang âm thầm thay đổi cách vận hành các chương trình *“bug bounty”*. Ông cho biết lượng báo cáo gửi về chương trình của công ty trong năm nay đã tăng tới 900% so với năm trước, tương đương khoảng 20–50 báo cáo mỗi ngày. Không chỉ các phát hiện hợp lệ tăng lên, mà cả những báo cáo vô nghĩa, không liên quan đến lỗ hổng thực sự cũng bùng nổ theo.

*bình luận: Với nhịp tăng trưởng này, ngay cả các đội ngũ kỹ thuật dày dạn cũng khó đảm bảo tốc độ xử lý và chất lượng đánh giá báo cáo.*

Về bản chất, *“bug bounty”* là cơ chế thưởng tiền cho những hacker mũ trắng hoặc nhà nghiên cứu bảo mật tìm ra lỗ hổng trong hệ thống. Trong ngành *“tiền mã hóa”*, mô hình này đặc biệt quan trọng để gia cố an toàn cho smart contract và hạ tầng blockchain, nơi chỉ một lỗ hổng cũng có thể gây thiệt hại hàng triệu USD. Tuy nhiên, khi *“AI”* giúp tự động hóa phân tích mã nguồn, sinh báo cáo kỹ thuật và đề xuất “lỗ hổng” với chi phí gần như bằng 0, số lượng báo cáo dạng “thấy gì cũng báo” đang ngày càng nhiều hơn.

Kadan Stadelmann, Giám đốc công nghệ (CTO) kiêm nhà phát triển blockchain của Komodo Platform, nhận định chất lượng trung bình của các báo cáo *“bug bounty”* đã suy giảm thấy rõ. Ông cho rằng việc tận dụng *“AI”* để viết và gửi báo cáo khiến chi phí thử vận may của người tham gia gần như không đáng kể, kéo theo lượng báo cáo tăng vọt. Một phần đáng kể trong số đó thực chất chỉ là cảnh báo sai, ép các đội ngũ kỹ sư phải tiêu tốn thời gian và nguồn lực kiểm tra lại những “lỗi” không tồn tại.

Tình trạng này không còn là cảnh báo lý thuyết. Daniel Stenberg – lập trình viên tạo ra công cụ truyền dữ liệu mã nguồn mở nổi tiếng “curl” – đã quyết định đóng hẳn chương trình *“bug bounty”* của mình hồi tháng 1 vì không chịu nổi “cơn mưa” báo cáo sinh ra bởi *“AI”*. Ở quy mô thị trường, nền tảng săn lỗi HackerOne cho biết số báo cáo *bug bounty* hợp lệ trong năm nay đạt 85.000, tăng 7% so với năm trước, cho thấy xu hướng săn lỗi – trong đó có cả việc dùng *“AI”* – đang tăng đều.

Trước bài toán này, nhiều dự án *“tiền mã hóa”* xem *“AI”* không chỉ là nguồn gốc vấn đề mà còn là một phần lời giải. Barry Plunkett cho biết Cosmos Labs đã bắt đầu ưu tiên xử lý báo cáo từ những nhà nghiên cứu có uy tín, đồng thời siết chặt tiêu chí đánh giá, thay vì chấp nhận tất cả ở cùng một mức độ. Về phía mình, Kadan Stadelmann nhấn mạnh các đội dự án cần phát triển và triển khai những hệ thống *“AI”* phòng thủ, có khả năng tự động lọc, phân loại và gắn điểm tin cậy cho từng báo cáo. Điều này đặc biệt cấp thiết với các nhóm phát triển nhỏ, không có đủ nhân lực để đọc thủ công hàng chục báo cáo mỗi ngày.

*bình luận: Nếu không có lớp lọc tự động, chính chương trình bảo mật sẽ trở thành điểm nghẽn, làm chậm khả năng phản ứng trước các lỗ hổng thật.*

Tổng thể, *“AI”* đang tạo ra nghịch lý cho hệ sinh thái bảo mật *“tiền mã hóa”*: công cụ này giúp tăng năng suất rà soát mã và mở rộng cộng đồng săn lỗi, nhưng đồng thời cũng đẩy cao chi phí thẩm định và nguy cơ bỏ sót vấn đề nghiêm trọng giữa một “biển” báo cáo nhiễu. Lượng *“bug bounty”* tăng nhanh là dấu hiệu tích cực, song nếu các dự án không xây dựng được quy trình và công cụ để sàng lọc, ưu tiên và xử lý hiệu quả, cơ chế bảo mật vốn được kỳ vọng là lá chắn cho *“tiền mã hóa”* có thể biến thành nút thắt, làm chậm khả năng ứng phó trước những lỗ hổng thật sự nguy hiểm.