Útočníci dnes využívajú botnety a AI nástroje, ktoré v reálnom čase prehľadávajú internet rýchlosťou tisícky skenov za sekundu. Akcia a reakcia v kybernetickej bezpečnosti naberajú na otáčkach.

Pri rýchlosti 36-tisíc skenov za sekundu dokážu hackeri takmer okamžite odhaliť nezaplátané servery, otvorené porty, slabé VPN alebo zraniteľné webové aplikácie. Čas medzi zverejnením zraniteľnosti a jej zneužitím sa skrátil z týždňov na hodiny, dokonca na minúty.

Vypočujte si Report bezpečnosti, 841 slov, číta pre vás AI.

Zraniteľnosti predstavujú slabé miesta v softvéri, hardvéri alebo konfiguráciách. Útočníci ich zneužívajú na získanie neautorizovaného prístupu, krádež dát alebo narušenie služieb. Akákoľvek malá a neodhalená zraniteľnosť môže viesť k rozsiahlemu úniku údajov, ransomvérovému útoku alebo iným bezpečnostným incidentom. Ak organizácie tieto slabiny nezachytia včas, útočníci ich rýchlo využijú.

Bujnie to. Ako všetko

Za prvý polrok 2025 bolo publikovaných už 21 528 zraniteľností, čo predstavuje medziročný nárast približne o 18 percent. Podľa Mandiant správy zraniteľnosti predstavovali v roku 2024 najčastejší počiatočný vektor útoku – 38 percent narušení sa začína ich zneužitím. Takmer štvrtina známych zneužívaných chýb sa využíva okamžite alebo ešte pred zverejnením záplat.

Na druhej strane, obrovské množstvo stále zverejňovaných zraniteľností vedie k únave bezpečnostných tímov. Nedávny výskum dokonca zistil, že len 12 percent z týchto CVE, ktoré boli oficiálnymi zdrojmi označené ako „kritické“, si toto označenie skutočne zaslúžilo.

Chlapci na dvoch brehoch

Na rýchly prieskum používajú hackeri rovnaké nástroje – masové skenovanie internetového priestoru, hľadanie otvorených portov či slabých konfigurácií. Rozdiel je v tom, že bug bounty lovci reportujú chyby legálne, zatiaľ čo útočníci ich zneužívajú.

Bug bounty programy vznikli pred tridsiatimi rokmi a v súčasnosti sú bežnou praxou pre mnohé spoločnosti vrátane technologických gigantov. Veľké spoločnosti už majú kapacity na spracovanie množstva hlásení, právnické oddelenia na uzatváranie dohôd o mlčanlivosti a aj možnosti zamestnať najlepších bug hunterov. Menšie firmy siahajú po komerčných platformách ako HackerOne či Bugcrowd, ktoré im sprostredkujú prístup k širokej komunite výskumníkov.

Viac než len lov

Úspech lovca zraniteľností vyžaduje znalosť nástrojov ako Burp Suite či Nmap a schopnosť písať jasné, zrozumiteľné a reprodukovateľné reporty. Tí najlepší ročne zarobia viac než tristotisíc amerických dolárov, začiatočníci si podľa zručností a času prilepšia o päťsto až do dvetisíc amerických dolárov mesačne.

Google cez svoj Bug Hunter Program vyplatil už viac než 64 miliónov dolárov a eviduje takmer 19-tisíc platných hlásení od štyritisíc výskumníkov. Platforma Patchstack od roku 2022 vyplatila viac než 313-tisíc amerických dolárov a do februára 2025 evidovala 580 platných reportov. Rast týchto čísel ukazuje, že firmy investujú do bezpečnosti čoraz viac, aj keď spracovanie reportov trvá v priemere desať dní.

Trh s bug bounty programami rýchlo expanduje. V roku 2024 dosiahol hodnotu 1,52 miliardy amerických dolárov, tento rok sa očakáva rast o štvrtinu a v roku 2033 má explodovať na 5,74 miliardy dolárov. Éra AI však priniesla ďalší fenomén – reporty, ktoré halucinujú a generujú neexistujúce zraniteľnosti.

A sme pri novodobom probléme

Umelá inteligencia zrýchľuje vyhľadávanie chýb, automatizuje prieskum aj formátovanie reportov. Výskumníci používajú veľké jazykové modely na preklady, korektúru a generovanie správ o zraniteľnostiach. AI však prináša aj riziko v podobe halucinácií. Výsledkom sú gramaticky správne a presvedčivo vyzerajúce, no falošné nálezy. Softvérové tímy tak musia analyzovať množstvo zavádzajúcich správ, čo spomaľuje opravy skutočných chýb.

Veľkí hráči navyše nasadzujú vlastné AI systémy na triáž reportov. Tento trend koncentruje trh a vytvára bariéry pre menšie firmy či nezávislých výskumníkov. Bug bounty programy zamerané na AI čelia aj špecifickým výzvam v podobe udržiavania správneho rozsahu a definovania nových typov zraniteľností, ako je prompt injection alebo krádež modelu.

Je to AI slop, ale neslope to

V roku 2025 zažívajú bug bounty programy prudký nárast nízkokvalitných a AI-generovaných reportov, tzv. AI slop. Tieto hlásenia na prvý pohľad pôsobia dôveryhodne, no často obsahujú vymyslené alebo neexistujúce zraniteľnosti. AI si proste halucinuje a tvorca reportu si to ani len nevšimne.

Open-source projekt Curl v roku 2025 potvrdil, že len približne päť percent reportov viedlo k publikovaniu skutočných zraniteľností. Zvyšok tvorili prevažne falošné alebo nekvalitné nahlásenia. Takéto reporty zahlcujú malé tímy bezpečnostných expertov. Strácajú čas ich spracovaním, čo vedie k vyčerpaniu a frustrácii. Vyhodnotenie jedného nehodnotného hlásenia im môže zabrať celé hodiny.

Hlavné bug bounty platformy preto kombinujú manuálne posudzovanie, playbooky a strojové učenie, aby reporty triedili už v úvode. Problém však narastá, pretože pribúdajú AI-fabrikované zraniteľnosti. Niektoré projekty museli práve kvôli týmto problémom dočasne pozastaviť alebo prehodnotiť svoje programy.

Nové úlohy pre bug bounty programy

Proti lovcom zraniteľností stoja najmä LotL útoky a okamžité zneužívanie zero-day cez automatizované skenery. V prípade útoku Living off the land (LotL) nepoužíva vlastný malvér, ale legitímne nástroje a procesy v systéme, napríklad PowerShell na automatizáciu Windows alebo PsExec na správu vzdialených systémov. Takže útočník sa pohybuje v sieti, získava údaje alebo spúšťa ďalší kód bez toho, aby vyvolal poplach.

Ľahšie to už nebude

Lovci sa učia, ako odhaliť slabiny toho, „čo všetko má firma vonku“, identifikovať konfiguračné chyby a overiť si, či legitímne nástroje nemajú priveľké oprávnenia.

Firmy by nemali slepo reagovať na každú „kritickú“ CVE hlášku, ale požadovať od bezpečnostných tímov prioritizáciu podľa reálneho rizika a kontextu. Kľúčové je, aby okázali odlíšiť, ktoré zraniteľnosti sú skutočne zneužiteľné v ich prostredí a vyžadujú okamžitú akciu.