Oportuno al problema rampante de los informes de vulnerabilidades falsos generados por IA, el equipo oficial del conocido plan de código libre Node.js ha anunciado la suspensión de las recompensas en efectivo para los reporteros de vulnerabilidades a través de la plataforma HackerOne.
La plataforma de recompensas por vulnerabilidades HackerOne afirmó que en los últimos abriles, una gran cantidad de usuarios han utilizado herramientas de inteligencia sintético para escanear y cursar vulnerabilidades de forma masiva. Este comportamiento ha inquieto el consistencia de la comunidad de código libre: la velocidad a la que se descubren vulnerabilidades (o vulnerabilidades sospechosas) supera con creces la velocidad a la que los desarrolladores pueden solucionarlas. Lo que es más difícil, estos informes están llenos de una gran cantidad de falsos positivos, de víctima calidad o incluso informes inventados.
Para solucionar este problema, el “Software de recompensas por errores de Internet” (IBB) de HackerOne dejó de aceptar nuevos informes, que cortaban directamente la fuente externa de los fondos de galardón de Node.js.
Como plan dirigido por voluntarios de la comunidad, Node.js no tiene un presupuesto independiente para remunerar recompensas. La empresa de seguridad Socket señaló que Node.js ya ha estado ajustando sus mecanismos:
-
Carga de revisión: Cada documentación requiere que los desarrolladores dediquen mucho tiempo a repasar, y el contenido de víctima calidad generado por IA hace que los mantenedores voluntarios pierdan mucho tiempo.
-
Umbrales más altos: Para resistir los ataques de IA, el equipo del plan anteriormente aumentó significativamente el puertas de presentación, pero aún es difícil resistir el impacto de las herramientas automatizadas.
El proceso permanece sin cambios, sólo se suspende la galardón.
Node.js enfatizó que aunque la galardón está suspendida, la seguro de seguridad no se ha “limitado”:
-
Proceso de emisión: Los investigadores aún pueden cursar vulnerabilidades a través de HackerOne.
-
Prioridad de procesamiento: El equipo mantendrá la velocidad de respuesta diferente y el proceso de extensión de parches para certificar la seguridad del plan.
Node.js no es un caso incomunicación. En enero de este año, la conocida aparejo de red cURL además tuvo que liquidar su software de recompensas oportuno a que fue “bombardeada” por informes generados por IA. Esto refleja los desafíos sistémicos que enfrentan los mecanismos tradicionales de incentivos de código libre posteriormente de la proliferación de la IA generativa: cómo filtrar comentarios profesionales verdaderamente valiosos se ha convertido en un problema apremiante para la comunidad de código libre.
About The Author
