漏洞懸賞平臺HackerOne上周公布了2023年的駭客驅動安全報告(Hacker-Powered Security Report),發現有61%的白帽駭客正在利用生成式AI(GenAI)來開發各種駭客工具,以用來發現更多的漏洞,同時也有62%的駭客打算專注於開放網路應用安全專案(OWASP)所揭露的大型語言模型(LLM)十大安全漏洞。
此一報告是HackerOne針對與該平臺合作的逾2,000位白帽駭客,在去年6月至今年9月間所進行的調查,發現駭客尋找並提報漏洞的最大動機是賺錢,占了80%,但也有高達78%是為了學習,另也有47%表示其駭客行動是為了保護企業與使用者。
至於這些白帽駭客鎖定的領域中,由網路及線上服務居冠,占了58%,金融服務則占了53%,零售業與電子商務平臺占了48%,電腦軟體占了43%,政府組織為40%。
駭客們通常具備多種技術,高達95%擁有網頁應用測試的專長,但也有63%專精於漏洞研究,47%著重在網路滲透測試,40%的長才在於紅隊測試,另有20%擅長社交工程,18%擅長無線滲透測試。而他們主要把這些技術應用在入侵網站,占了98%,55%用來攻陷API,43%攻擊Android程式,23%攻擊開源碼專案,而攻擊iOS程式或桌面軟體則各占17%。
駭客們也對新興的GenAI技術感興趣,認為該技術既能提高生產力也能維持競爭力。有66%的駭客表示他們正在或準備利用GenAI來撰寫報告,53%表示欲利用GenAI來寫程式,還有33%說要用GenAI來降低語言的門檻。
另有55%的駭客認為GenAI工具本身可望在未來幾年成為攻擊目標,61%計畫開發基於GenAI的工具來發現更多的漏洞,還有62%準備專研來自OWASP的十大LLM漏洞。
事實上,現在已經有14%的駭客把GenAI當作重要的工具,也有53%以某些形式使用GenAI。
該調查也詢問了駭客選擇參與特定抓漏專案的原因,其中有73%明白表示是因為豐厚的賞金,有50%的原因是預期可找到大量的漏洞,46%是因為範圍的多樣化,另有45%的駭客表明是為了挑戰與學習的機會。
至於駭客不提報漏洞的主要原因則包括回應太慢(60%)、範圍受限(58%)、溝通不良(55%)、獎金太低(48%),以及外界風評太差(44%)等。
HackerOne的客戶涵蓋了Coinbase、微軟、GitHub、Goldman Sachs、Slack、General Motors、Hyatt及美國國防部等、於2012年成立以來,該平臺已頒發超過3億美元的抓漏獎金,有30名駭客透過該平臺獲得超過100萬美元的獎金,其中一名駭客的總獎金更突破400萬美元。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-05
2024-10-07