Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il mondo del bug hunting si sta trasformando profondamente a causa dell'introduzione di modelli di intelligenza artificiale avanzati. Le AI stanno sostituendo il lavoro manuale, ma il ruolo del bug hunter non sparirà, ma sposterà la sua visione dove conterà maggiormente la strategia e il pensiero laterale.
Negli ultimi mesi, il bug hunting sta attraversando una trasformazione profonda. L’introduzione di modelli di AI sempre più avanzati (come quelli sviluppati da Anthropic), hanno segnato una svolta che va oltre il miglioramento degli strumenti stessi. Non siamo di fronte a sistemi che assistono il ricercatore, ma stiamo assistendo ad una fase in cui le AI sono progettate per analizzare bug di sicurezza in modo autonomo e in un modo sempre più sofisticato.
Questo cambiamento solleva una questione spinosa ovvero: che ruolo avrà il bug hunter in un contesto in cui le macchine riescono ad individuare i bug di sicurezza con velocità e precisione senza precedenti?
La risposta, almeno dalle mie analisi, non è drastica come si potrebbe prevedere, infatti, il bug hunting non è destinato a scomparire, ma ad evolversi in modo significativo. Ed è e proprio di questa evoluzione che parleremo in questo articolo.
Il cambiamento più significativo riguarda il passaggio da un approccio “artigianale” ad un approccio “industriale“. L’attività del bug hunter è da sempre stata incentrata su attività manuali e richiedeva esplorazione, intuizione e una notevole quantità di tempo passato a fare dei “test ripetitivi“. Stare ore ed ore ad analizzare i risultati di un fuzzer può essere logorante e finalmente oggi questo lavoro può essere delegato ai sistemi automatizzati.
Infatti, le AI sono estremamente efficaci nello “spazzolare” grandi quantità di codice ed individuare “pattern vulnerabili” e generare, una volta fatte le analisi del caso, degli exploit pronti per testare i bug di sicurezza rilevati. Questo consente una riduzione drastica del tempo necessario per identificare i bug e consente di lavorare su una scala che, fino a diversi anni fa, era assolutamente impensabile per un solo ricercatore.
Ma il vero punto di rottura non è rappresentato dalla “velocità“, ma dal fattore scala.
Un bug hunter oggi può analizzare interi ecosistemi software usando le AI, passando da un lavoro focalizzato sulla singola applicazione a una visione a 360 gradi. In questo nuovo contesto, il ruolo del bug hunter diventa sempre meno una questione di pura “forza lavoro” ma si espande sul piano “strategico”. La differenza non la fa chi riesce a testare di più, ma chi riesce a interpretare meglio i risultati prodotti e comprende in quale parte del software indagare con maggiore attenzione.
Dobbiamo tenere in considerazione che le AI riconoscono pattern simili relativi a bug simili. Ed è lì che il bug hunter post AI si va ad inserire. Ma questo lo vedremo più avanti.
Dobbiamo riconoscere che alcune aree del bug hunting sono destinate a scomparire così come le conosciamo oggi. In particolare, tutte quelle vulnerabilità che seguono schemi e pattern noti e ripetibili rappresentano il terreno fertile dove le AI saranno imbattibili.
I classici bug applicativi, come le SQL injection o i Cross-Site Scripting (XSS), sono ormai ben comprese e documentate e facilmente riconoscibili dalle AI. Ma questo valeva anche nei sistemi di sviluppo sicuro del codice, ma ora l’accuraterzza è molto più raffinata come la relativa identificazione.
Questo le rende perfette per assistere lo sviluppatore e individuate i bug evitando quella “colata lavica” di falsi positivi. Infatti le AI eccellono nel riconoscere questi bug, soprattutto quando possono confrontarli con enormi quantità di dati già osservati in precedenza e presenti nel modello stesso.
Anche attività come l’enumerazione degli endpoint, il crawling e il fuzzing (di base) stanno diventando sempre più automatizzati. Questi processi, che richiedevano tempo e attenzione, possono essere delegati in modo efficace alle AI senza una grande supervisione umana.
Quindi, il risultato è una progressiva perdita di valore per il bug hunter “generalista“, o meglio dire chi si limita ad applicare le tecniche standard di rilevamento dei bug, che seguono metodologie consolidate. Non sarà una scomparsa immediata, ma sarà una lenta erosione, in quanto le competenze di base resteranno importanti, ma non saranno più sufficienti per distinguersi. Il rischio non è quello di essere sostituiti completamente, quanto quello di diventare facilmente intercambiabili.
Se da una parte le attività vengono automatizzate, emergono aree in cui il contributo umano sarà per molto tempo centrale e difficilmente sostituibile.
Uno di questi ambiti è quello delle vulnerabilità nelle logiche applicative. Ne avevamo già parlato diverse volte su questo blog. Tali bug di sicurezza sono sempre stati difficili da rilevare anche da strumenti SAST, DAST e BAS. Perché questi bug non derivano da errori nel codice riconducibili a “pattern statistici”, ma sono frutto di discrepanze tra il comportamento atteso di un sistema e ciò che permette di fare. Ad esempio, le Broken Access Control (BAC) sono da sempre state il tallone di Achille degli strumenti automatizzati, perché difficili da rilevare, e possono portare a conseguenz catastrofiche. Infatti sono il primo bug nelle TOP10 Owasp.
Altri bug difficilmente rilevabili dalle AI sono i problemi legati a workflow complessi, come sistemi di pagamento, gestione di crediti o processi multi-step. Le AI possono analizzare il codice, ma faticano a comprendere l’intento dietro ad una serie di interazioni tra sistemi diversi, perché non hanno una vera comprensione del contesto di business e una visione a 360 gradi, e non conoscono le regole implicite che governano l’intero ecosistema. Questo lascia molto spazio all’intuizione umana, che resta centrica per individuare anomalie logiche.
Questo tipo di analisi richiede una visione sistemica, che va oltre il codice e coinvolge l’intera architettura. Le AI, almeno per ora, tendono a operare in contesti limitati e faticano a cogliere queste dinamiche complesse.
Un altro ambito dove le AI non riescono ed essere efficaci è la scoperta di nuove classi di vulnerabilità, che resta uno dei pochi ambiti in cui il vantaggio umano è nettissimo. Le AI sono estremamente efficaci come abbiamo detto, nella rilevazione di pattern noti, ma fanno fatica quando si tratta di identificare categorie di bug non noti. La storia della sicurezza c’è lo ha insegnato più di una volta, con vulnerabilità come Heartbleed oppure Spectre & Meltdown, che hanno introdotto un paradigma inatteso, oltre ad una nuova superficie di rischio nuova e inaspettata. Scoperte di questo tipo non possono nascere da pattern matching, ma unicamente da capacità di astrazione, intuizione e pensiero laterale, qualità che, almeno, restano profondamente umane oppure rimandate ad un futuro, dove prenderà forma la tanto blasonata AGI.
A supporto di questa tesi esistono già dati concreti: ricerche condotte da Google Project Zero e diversi paper accademici su modelli come GPT-4 mostrano che i LLM riescono a rilevare bug di sicurezza con tassi interessanti, ma crollano significativamente davanti a vulnerabilità inedite o a logiche applicative complesse. Inoltre, il tasso dei falsi positivi resta un problema aperto, che richiede ancora una supervisione umana qualificata.
C’è anche un aspetto più difficile da replicare: quello relativo alla “creatività offensiva“. Un buon bug hunter non si limita a testare ciò che è previsto, ma esplora ciò che non lo è. Ipotizza ed immagina nuovi scenari, combina elementi in modi inaspettato e cerca comportamenti anomali nei sistemi. Questo tipo di “pensiero laterale“, non segue regole precise e si basa spesso su intuizioni maturate dall’esperienza.
Analizzando questi cambiamenti, il ruolo del bug hunter è destinato ad evolversi in modo significativo. Non sarà più sufficiente essere dei “tecnici esperti”, ma diventerà sempre più importante saper interpretare, collegare e guidare le intelligenze artificiali.
Il bug hunter del futuro sarà, prima di tutto, un “orchestratore” di strumenti avanzati e un tecnico competente in attività offensive. Le AI diventeranno parte del workflow, un po’ come il vecchio e amato “fuzzing”, ma più evoluto, dove il valore del risultato dipenderà soprattutto da come verrà utilizzato ed istruito. Saper formulare le giuste domande (prompt) e interpretare le risposte (output) sarà più importante che eseguire in modo completamente manuale ogni test. Pertanto, una skill fondamentale del bug hunter del futuro sarà quella di conoscere come istruire una AI e leggerne i risultati prodotti e quindi il contesto.
Parallelamente, assisteremo ad una crescente importanza di una “visione sistemica” nella ricerca dei bug. Comprendere le architetture e i flussi complessi dei dati e le interazioni tra le varie componenti, sarà essenziale per individuare vulnerabilità dove le AI difficilmente riusciranno a vedere. Questo richiederà competenze che vanno oltre il codice, includendo la conoscenza del design delle applicazioni e l’organizzazione dei sistemi stessi.
Quindi un elemento di importanza strategica saranno la capacità di comprendere il contesto. I bug di sicurezza più rilevanti saranno sempre più legati ai domini applicativi, che si tratti di finanza, telecomunicazioni, sanità o piattaforme digitali. Chi saprà leggere il sistema dal punto di vista applicativo, dove un comportamento lecito si può trasformare in un bug di sicurezza, avrà un vantaggio competitivo non indifferente.
Possiamo dire che il bug hunter, oltre che ad un “orchestratore“, diventerà sempre più uno “stratega“. Il valore non sarà più il singolo bug di sicurezza, ma la capacità di combinare e trasformare il bug in impatti reali concreti. Questo richiede una visione più ampia di come oggi siamo abituati a vedere il bug hunting, che unisce non solo tecnica,.ma anche strategia.
C’è però una domanda che l’industria non può ignorare: cosa succede al contesto economico del bug bounty? Piattaforme come HackerOne e Bugcrowd stanno già affrontando un aumento di submission che sono state aiutate della AI, che porta inevitabilmente ad una ridefinizione delle ricompense.
È ragionevole quindi aspettarsi che i programmi inizieranno a premiare i bug logici e architetturali, riducendo il valore delle segnalazioni su quei bug di sicurezza che sarà possibili individuare con le AI.
La trasformazione di questo ruolo, solleva anche una domanda che il settore non può più ignorare: se le attività ripetitive iniziano a sparire, come si potrà formare la prossima generazione di ricercatori di sicurezza?
Oggi il percorso di crescita di un bug hunter è costruito su quel lavoro che risulta essere “noioso” che l’AI sta sostituendo. Stare ore su un fuzzer, enumerare gli endpoint, analizzare migliaia di risultati e di falsi positivi: queste attività non sono solo lavoro, ma fanno la scuola. È il modo in cui si imparava a riconoscere un comportamento anomalo di un software, a sviluppare un’intuizione, a costruire quella sensibilità che poi permette di vedere dove gli altri non hanno ancora guardato.
Se quella palestra inizia a sparire, il rischio è avere una generazione di bug hunter che sanno benissimo orchestrare gli strumenti, ma che non capiscono bene e a fondo come funzionano i bug di sicurezza perché non li hanno mai scovati ed analizzati partendo da zero. Un po’ come imparare a guidare su un’auto a guida autonoma o come programmare utilizzando il vibe coding. Rischiamo di essere capaci a comprendere le cose, ma solo su un livello superficiale e non del tutto a fondo.
Il “percorso” dovrà essere costruito in modo diverso e più consapevole. Probabilmente le CTF e i laboratori pratici saranno centrali, non come gioco, ma come un sostituto di quella pratica manuale che il mercato non incentiverà e non offrirà più. Programmi come HackTheBox o TryHackMe, che oggi sono considerati alle volte degli strumenti per principianti, potrebbero diventare l’unico ambiente in cui uno junior potrà sporcarsi veramente le mani senza utilizzare una o l’altra AI.
Parallelamente, la comprensione profonda dei sistemi — architetture, dati, logiche di business — dovrà entrare nel DNA del bug hunter. Non sarà più sufficiente la tecnica e dopo il contest, probabilmente occorrerà invertire l’ordine, partendo dal capire come funziona un sistema prima di sapere come attaccarlo.
Il bug hunter post-AI non si formerà facendo più cose, ma conoscendole molto più a fondo. E questo richiede un aumento delle skill e dello studio, oltre che ad un cambio culturale di settore: meno focus sui tool, più focus sul ragionamento. Meno certificazioni che misurano quante tecniche conosci, nuove certificazioni che valutano come pensi davanti a un problema che non hai mai incontrato prima.
Il futuro del bug hunting non va verso la fine, ma subisce una grande trasformazione. Le AI elimineranno gran parte del lavoro ripetitivo, e questo è un bene, ma allo stesso tempo renderanno più evidente il valore delle “competenze avanzate“.
Il settore si muoverà verso una nuova polarizzazione, dove le attività di base saranno sempre più relegate alle AI, ma quelle di alto livello strategico diventeranno sempre più centrali.
In questo nuovo scenario, il bug hunter non sarà più valutato attraverso il numero delle CVE emesse, come molti facevano nel vecchio modello di misurazione, ma soprattutto verrà misurata la qualità dei bug identificati e come questi siano stati individuati attraverso attività miste, agentiche e/o manuali.
Sintetizzando il punto, non è che smetteremo di cercare bug nel codice. È che quel lavoro non avrà più valore.
Il vero terreno di gioco sarà sempre di più capire come dei sistemi apparentemente corretti possano essere abusati in modi imprevisto. E questa non è un’attività che non potrà essere automatizzata semplicemente: richiede intuito, studio, esperienza e una buona dose di pensiero “malizioso” che, almeno per ora, le macchine non possono e non riescono ad automatizzare.
Pertanto in questo gioco duro con le controparti AI, rimarranno i migliori a fare questo mestiere, perché più preparati e maggiormente efficaci. Quindi a tutti buon lavoro!
