Doch selbst wenn Triage an dieser Stelle helfen kann: Besonders Bug-Bounty-Programme, die nicht mit Ressourcen im Übermaß gesegnet sind (Stichwort: Open Source), werden auch dadurch zusätzlich belastet. Ein Beispiel liefert etwa das quelloffene Projekt Curl (ein Befehlszeilen-Tool, das etwa dazu genutzt wird, Dateien herunterzuladen). Projektleiter Daniel Stenberg beklagt in einem Blogbeitrag, dass er und sein Team inzwischen viel zu viel Zeit damit verbringen, sich mit minderwertigen, von KI-Tools erstellten Bug Reports zu befassen: “Das Curl-Sicherheitsteam besteht aus sieben Personen. Jeder Report beschäftigt drei bis vier Personen für den Zeitraum von 30 Minuten bis hin zu drei oder vier Stunden.”
Dass die Ergebnisse, die KI-Tools beim Bug Hunting liefern, bislang eher gemischt ausfallen, bestätigen auch andere Security-Praktiker. Etwa Bobby Kuzma, Manager bei der Security- und Compliance-Beratung ProCircular: “Wenn sie richtig angewendet und validiert werden, können KI-Tools aussagekräftige Ergebnisse liefern. Aber es gibt auch Bug-Bounty-Programme, die dadurch von einem Übermaß an Meldungen überflutet werden, die – um es vorsichtig auszudrücken – Schrott sind.”
Dass die Menschen, die diese KI-Tools bedienen, wissen, was sie tun, sieht auch Trevor Horwitz, CISO bei der britischen Investment-Research-Plattform TrustNet, als Voraussetzung für erfolreiches Bug Hunting an: “Die besten Ergebnisse erzielen nach wie vor Menschen, die wissen, wie man die Tools einsetzt. KI kann für Geschwindigkeit und Skalierbarkeit sorgen, aber erst menschliches Urteilsvermögen sorgt für nachhaltige Ergebnisse.”
