Штучний інтелект

Як працює ШІ для кіберзламів і як багхантерам конкурувати з AI-моделями — інтервʼю з організатором Bug Bash Джоржем Папаригою

By admin
27 Лютого, 2026 5 Min Read
0
decoration
ШІ проти людей: хто краще «ламає» держсервіси
Чи безпечне використання AI-моделі для тестування держресурсів?
Як працює ШІ-модель для багхантингу
Майбутнє ШІ-моделі від Bugstream
Must-have навички для багхантера в найближчі 3-5 років, щоб не програти штучному інтелекту
ШІ на Bug Bash
ШІ на Bugstream

На форумі кіберстійкості відбувся перший публічний «кіберзлам» держресурсів за участі ШІ. В межах тестування BugBush етичні хакери та AI-модель від Bugstream шукали вразливості в ресурсах «Агенції оборонних закупівель» та «Прозорро». Детальніше про Bug Bash, мету та результати тестування SPEKA розповіла у новині.

Читайте также: Бідний асортимент нових авто в Україні: чому ми не можемо дозволити собі особистий транспорт

Як працює ШІ-хакер чи витіснить людей та які навички зроблять багхантера незамінним?

SPEKA поспілкувалась з Джоржем Папаригою, організатором Bug Bash 2026, співзасновником платформи BugStream та членом правління Інституту дослідження кібервійни.

Як працює ШІ для кіберзламів і як багхантерам конкурувати з AI-моделями — інтервʼю з організатором Bug Bash Джоржем Папаригою зображення 1
Джорж Папарига розповів SPEKA як працює ШІ для пошуку кібервразливостей та чи замінить багхантерів

ШІ проти людей: хто краще «ламає» держсервіси

Джорж підкреслює, що Bug Bash — це не змагання, а тестування державних платформ.

Bug Bash — це програма скоординованого пошуку вразливостей в цифрових ресурсах із залученням незалежних експертів з кібербезпеки, так званих багхантерів або білих хакерів
Джорж Папарига

Bug Bounty програми зазвичай тривалі, Bug Bash – це короткострокова програма в швидкому форматі, більше схожа на хакатон, розповідає Джорж.

До тестування державних сервісів залучили й штучний інтелект, розроблений Bugstream (жур. — українська Bug Bounty-платформа). Це було перше публічне представлення моделі, раніше проводилися лише внутрішні тестування.

Всі напрацювання хантерів запаковані в цю AI-модель, яка тестує за попередніми алгоритмами. Ми вже бачимо, що вона набагато швидше працює, ніж люди. AI-модель знаходить понад 90% базових вразливостей.

Звісно, лише людина може знаходити якісні логічні вразливості, адже розуміє інфраструктуру ресурсів, які тестуються. Штучний інтелект не розуміє всіх нюансів, тому людина все одно залишається незамінною.

Джорж Папарига
Джорж Папарига організатор Bug Bash 2026, співзасновник платформи BugStream та член правління Інституту досліджень кібервійни

Чи безпечне використання AI-моделі для тестування держресурсів?

За словами Джоржа, AI-модель навчалась виключно на знеособлених даних під час закритих тестів, а саме тестування держресурсів під час форуму відбувалося у спеціальних середовищах, що не містять чутливої інформації.

Ми тестуємо не самі ресурси держави, а їх копії (тестові середовища), які не містять жодної конфіденційної інформації, лише згенеровану. Тобто витоку не може бути, тому що система не наповнена оригінальними даними.
Джорж Папарига

Як працює ШІ-модель для багхантингу

«Я впевнений, багато багхантерів вже зараз використовують власні моделі, тому що це прискорює тестування.

В чому суть моделі? Ти свої життєві напрацювання імплементуєш в ШІ. На базовому рівні він тестує набагато швидше, але ручні моделі ніхто не відміняв.

Ще у 2024 році на конференції DEFCON — найбільшій конференції кібербезпеки в світі, яка проходить в США, порушувалась ця проблема: з часом людина буде виявляти вразливість лише один раз, а далі всі напрацювання імплементуватиме у свого АІ-агента.

Людина завжди буде потрібна, щоб відкривати нові методи. ШІ йде за механізмами, які вже реалізовані людьми. Тому повністю штучний інтелект ніколи не переможе людину, але в швидкості та пошуку базових вразливостей перемагає вже зараз».

Читайте также: Threads як інструмент кризових комунікацій: досвід Укрзалізниці, ДТЕК, Нової Пошти та Rozetka

Майбутнє ШІ-моделі від Bugstream

За словами Джоржа, є два варіанти розвитку цієї ШІ-моделі:

  • участь в програмах з пошуку вразливостей, як-от Bug Bash, але від інших організаторів, щоб не створювати конфлікт інтересів.
  • претестування на Bugstream, щоб знаходити понад 90% базових вразливостей для замовників.
Хакерам треба буде знаходити більш складні та цікаві вразливості
Джорж Папарига

Must-have навички для багхантера в найближчі 3-5 років, щоб не програти штучному інтелекту

«Інноваційність і креативність. ШІ діє по напрацюваннях, якщо багхантер буде розвиватися і креативно підходити до ресурсу — зможе бути першим.

Наприклад, ще у 2019 році при тестуванні Uklon, молодий хакер не з України, виявив, що можна прикрутити систему, яка списуватиме з сервісу кошти, призначені для смс. Таким чином він спустошив їхній рахунок. Машина ніколи до цього не додумається, це логічна модель, а не пряма вразливість в системі.

Тому треба бути креативним, максимально розвиватися в нових напрямках і в будь-якому випадку взаємодіяти з моделями штучного інтелекту».

ШІ на Bug Bash

Джорж каже, Bugstream прокомунікує про здобутки ШІ у Bug Bash, але не виноситиме його у рейтингову таблицю, щоб уникнути непорозумінь зі сторони хантерів.

«Могли б бути непорозуміння, що ми заточили ШІ під це тестування, адже ми попередньо вивчаємо продукт. Саме тому ми не включали ШІ в список переможців. Але він би зайняв рейтингову позицію однозначно».

Список переможців Bug Bash та призи, які вони виграли — у новині SPEKA.

ШІ на Bugstream

ШІ-модель, яку вперше публічно застосували на Bug Bash, виявляє вразливості на рівні з кіберфахівцями, розповідає Джорж.

ШІ, так само як і багхантер репортить, на платформі, він повністю інтегрований, але ми спеціально не валідуємо його звіти в переліку і не додаємо і лідерборд
Джорж Папарига

Джорж пояснює, ШІ не показують в переліку, щоб не дискредитувати платформу та не отримувати хейт зі сторони ком’юніті. Водночас, Bugstream готує дослідження, в якому продемонструють результати роботи ШІ та кейси, в яких він автономно знайшов вразливості.

Дату релізу цього дослідження не афішують, як і кількість та критичність знайдених вразливостей.

Питання в тому, наскільки нам буде дозволено зі сторони представників державних підприємств надавати цю інформацію
Джорж Папарига

https://speka.ua/artificial-intelligence/yak-pracyuje-si-dlya-kiberzlamiv-i-yak-bagxanteram-konkuruvati-z-ai-modelyami-intervyu-z-organizatorom-bug-bash-dzorzem-paparigoyu-9q3ze2

Читайте также: Україна та Франція створять грантову програму Brave France

Author

admin

Follow Me
Other Articles
No Comment! Be the first one.

    Залишити відповідь

    Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *