超過6成的白帽駭客企圖利用生成式AI來發現漏洞

漏洞懸賞平臺HackerOne上周公布了2023年的駭客驅動安全報告（Hacker-Powered Security Report），發現有61%的白帽駭客正在利用生成式AI（GenAI）來開發各種駭客工具，以用來發現更多的漏洞，同時也有62%的駭客打算專注於開放網路應用安全專案（OWASP）所揭露的大型語言模型（LLM）十大安全漏洞。

此一報告是HackerOne針對與該平臺合作的逾2,000位白帽駭客，在去年6月至今年9月間所進行的調查，發現駭客尋找並提報漏洞的最大動機是賺錢，占了80%，但也有高達78%是為了學習，另也有47%表示其駭客行動是為了保護企業與使用者。

至於這些白帽駭客鎖定的領域中，由網路及線上服務居冠，占了58%，金融服務則占了53%，零售業與電子商務平臺占了48%，電腦軟體占了43%，政府組織為40%。

駭客們通常具備多種技術，高達95%擁有網頁應用測試的專長，但也有63%專精於漏洞研究，47%著重在網路滲透測試，40%的長才在於紅隊測試，另有20%擅長社交工程，18%擅長無線滲透測試。而他們主要把這些技術應用在入侵網站，占了98%，55%用來攻陷API，43%攻擊Android程式，23%攻擊開源碼專案，而攻擊iOS程式或桌面軟體則各占17%。

駭客們也對新興的GenAI技術感興趣，認為該技術既能提高生產力也能維持競爭力。有66%的駭客表示他們正在或準備利用GenAI來撰寫報告，53%表示欲利用GenAI來寫程式，還有33%說要用GenAI來降低語言的門檻。

另有55%的駭客認為GenAI工具本身可望在未來幾年成為攻擊目標，61%計畫開發基於GenAI的工具來發現更多的漏洞，還有62%準備專研來自OWASP的十大LLM漏洞。

事實上，現在已經有14%的駭客把GenAI當作重要的工具，也有53%以某些形式使用GenAI。

該調查也詢問了駭客選擇參與特定抓漏專案的原因，其中有73%明白表示是因為豐厚的賞金，有50%的原因是預期可找到大量的漏洞，46%是因為範圍的多樣化，另有45%的駭客表明是為了挑戰與學習的機會。

至於駭客不提報漏洞的主要原因則包括回應太慢（60%）、範圍受限（58%）、溝通不良（55%）、獎金太低（48%），以及外界風評太差（44%）等。

HackerOne的客戶涵蓋了Coinbase、微軟、GitHub、Goldman Sachs、Slack、General Motors、Hyatt及美國國防部等、於2012年成立以來，該平臺已頒發超過3億美元的抓漏獎金，有30名駭客透過該平臺獲得超過100萬美元的獎金，其中一名駭客的總獎金更突破400萬美元。