漏洞悬赏平台HackerOne上周公布了2023年的骇客驱动安全报告(Hacker-Powered Security Report),发现有61%的白帽骇客正在利用生成式AI(GenAI)来开发各种骇客工具,以用来发现更多的漏洞,同时也有62%的骇客打算专注于开放网路应用安全专案(OWASP)所揭露的大型语言模型(LLM)十大安全漏洞。
此一报告是HackerOne针对与该平台合作的逾2,000位白帽骇客,在去年6月至今年9月间所进行的调查,发现骇客寻找并提报漏洞的最大动机是赚钱,占了80%,但也有高达78%是为了学习,另也有47%表示其骇客行动是为了保护企业与使用者。
至于这些白帽骇客锁定的领域中,由网路及线上服务居冠,占了58%,金融服务则占了53%,零售业与电子商务平台占了48%,电脑软体占了43%,政府组织为40%。
骇客们通常具备多种技术,高达95%拥有网页应用测试的专长,但也有63%专精于漏洞研究,47%著重在网路渗透测试,40%的长才在于红队测试,另有20%擅长社交工程,18%擅长无线渗透测试。而他们主要把这些技术应用在入侵网站,占了98%,55%用来攻陷API,43%攻击Android程式,23%攻击开源码专案,而攻击iOS程式或桌面软体则各占17%。
骇客们也对新兴的GenAI技术感兴趣,认为该技术既能提高生产力也能维持竞争力。有66%的骇客表示他们正在或准备利用GenAI来撰写报告,53%表示欲利用GenAI来写程式,还有33%说要用GenAI来降低语言的门槛。
另有55%的骇客认为GenAI工具本身可望在未来几年成为攻击目标,61%计划开发基于GenAI的工具来发现更多的漏洞,还有62%准备专研来自OWASP的十大LLM漏洞。
事实上,现在已经有14%的骇客把GenAI当作重要的工具,也有53%以某些形式使用GenAI。
该调查也询问了骇客选择参与特定抓漏专案的原因,其中有73%明白表示是因为丰厚的赏金,有50%的原因是预期可找到大量的漏洞,46%是因为范围的多样化,另有45%的骇客表明是为了挑战与学习的机会。
至于骇客不提报漏洞的主要原因则包括回应太慢(60%)、范围受限(58%)、沟通不良(55%)、奖金太低(48%),以及外界风评太差(44%)等。
HackerOne的客户涵盖了Coinbase、微软、GitHub、Goldman Sachs、Slack、General Motors、Hyatt及美国国防部等、于2012年成立以来,该平台已颁发超过3亿美元的抓漏奖金,有30名骇客透过该平台获得超过100万美元的奖金,其中一名骇客的总奖金更突破400万美元。