شکارچیان باگ: چگونه با پیدا کردن حفره‌های امنیتی درآمد نجومی کسب کنیم؟

دنیای امنیت سایبری با چنان سرعتی در حال تغییر است که هر روز با تهدیدهای جدیدی روبرو هستیم؛ اما در همین دنیای پرآشوب، رویکرد جالب‌توجه‌ای در حال پیشروی است. امروزه، متخصصان امنیتی یا همان «کارآگاهان دیجیتال» به جای فعالیت در شرکت‌های بزرگ، به صورت مستقل و از خانه‌های خود، با شرکت‌های فناوری همکاری می‌کنند. آن‌ها با پیدا کردن نقاط ضعفی که می‌تواند برای این غول‌های فناوری بسیار گران تمام شود، درآمدهای قابل توجهی به دست می‌آورند. این همان چیزی است که به آن «شکار باگ» می‌گویند.

ساخته‌شده با هوش مصنوعی

یکی از معروف‌ترین داستان‌های دنیای «باگ بانتی»، مربوط‌به سانتیاگو لوپز، یک آرژانتینی خودآموخته در امنیت سایبری است که در سن نوزده سالگی به موفقیت بزرگی در شکار باگ، دست یافت. تا سال ۲۰۱۹، او اولین شکارچی باگ بود که در پلتفرم هکروان (HackerOne)، بیش از یک میلیون دلار درآمد کسب کرد.

سفر لوپز به دنیای هکرها، از شانزده سالگی و با انگیزه‌ی کنجکاوی و عزمی راسخ در تلاش برای تحقق شعار هک کردن همه چیز، آغاز شد؛ شعاری که هنوز به آن پایبند است. لوپز با یادگیری از آموزش‌های آنلاین رایگان و وبلاگ‌ها، بیش از ۱٬۶۰۰ آسیب‌پذیری امنیتی را برای نهادهای بزرگی چون ایکس (توییتر)، شرکت رسانه‌ای ورایزن، و همچنین ابتکارات مختلف خصوصی و دولتی کشف کرد.

بزرگترین جایزه‌ی لوپز، مبلغ چشمگیر ۹٬۰۰۰ دلار، حاصل شناسایی یک آسیب‌پذیری حیاتی جعل درخواست سمت سرور (SSRF) بود. اما داستان لوپز فراتر از یک روایت شخصی از موفقیت است؛ ماجرای پرفراز و نشیب این نوجوان، تاثیر عمیق برنامه‌های شکار باگ را روشن می‌سازد که چگونه استعدادهای متنوع، با انگیزه‌ی بیشتر دانستن در کنار پاداش مالی، می‌توانند دنیای دیجیتال امن‌تری بسازند.

برنامه‌‌ی شکار باگ (Bug Bounty Program)، یک مشارکت رسمی میان سازمان‌ها و محققان امنیتی مستقل است که اغلب «هکر اخلاق‌مدار» یا «کلاه‌سفید» نامیده می‌شوند. وظیفه‌ی این محققان، کشف آسیب‌پذیری‌های امنیتی یا همان «باگ»ها در سیستم‌ها، شبکه‌ها و نرم‌افزارهای کاربردی است.

باگ‌ها می‌توانند از مشکلات جزئی تا نقص‌های حیاتی که ممکن است به افشای داده‌های حساس منجر شوند، متفاوت باشند. در ازای گزارش مسئولانه‌ی این مشکلات امنیتی، محققان از پاداش‌های مالی بهره‌مند می‌شوند.

برای نمونه، در سال ۲۰۲۰، یک شکارچی باگ یک نقص حیاتی در سیستم ورود به حساب کاربری توییتر کشف کرد که می‌توانست به هکرها اجازه‌ی دسترسی غیرمجاز دهد. توییتر پس از دریافت گزارش، ظرف ۴۸ ساعت آن را رفع کرد و به شکارچی، ۱۵,۰۰۰ دلار پاداش داد.

برخلاف تست نفوذ سنتی که به ارزیابی‌های محدود و زمان‌بندی‌شده توسط تیم‌های داخلی متکی است، برنامه‌های شکار باگ از استعدادهای بین‌المللی برای بررسی مستمر استفاده می‌کنند. این مدل از مردم‌سپاری (Crowdsourcing)، دفاعی گسترده‌تر و پایدارتر را تضمین می‌کند تا سازمان‌ها از هکرهای مخربی که قصد سوءاستفاده از ضعف‌ها را دارند، پیشی بگیرند.

پاداش دادن به یابندگان حفره‌های امنیتی، ایده‌ای جدید نیست، اما ریشه‌های برنامه‌های مدرن شکار باگ به دهه‌ی ۱۹۸۰ بازمی‌گردد. در سال ۱۹۸۳، شرکت هانتر اند رِدی (Hunter and Ready) وعده داد که هر کسی بتواند در سیستم‌عامل آن‌ها نفوذ کند، مالک یک خودروی فولکس‌واگن قورباغه‌ای می‌شود.

Hunter and Ready Inc

اصطلاح «شکار باگ» در سال ۱۹۹۵ و زمانی که جرت ریدینگهافر (Jarrett Ridlinghafer) از نت‌اسکیپ (Netscape)، یک برنامه‌ی پیشگامانه برای مرورگرش راه‌اندازی کرد، رایج شد. این برنامه‌ در ابتدا به‌دلیل نبود آگاهی گسترده از مفهوم شکار باگ و محدودیت‌های فنی آن زمان، با استقبال کمی مواجه شد، اما پایه‌ای برای برنامه‌های امروزی فراهم کرد.

در سال ۲۰۰۲، شرکت آی‌دیفنس (iDefense) برنامه‌ای را برای واسطه‌گری برای پرداخت پاداش‌های نقدی در گزارش‌های آسیب‌پذیری آغاز کرد. دو سال بعد، برنامه‌ی موزیلا، جایزه‌ی ۵۰۰ دلاری برای شناسایی باگ‌های فایرفاکس ارائه داد. جریان اصلی برنامه‌های شکار و جایزه‌ی باگ، در سال ۲۰۱۰ با برنامه‌ی پاداش آسیب‌پذیری گوگل (Google’s Vulnerability Reward Program یا GVRP) تعریف شد و جایزه‌های باگ را به‌عنوان یک رویه‌ی رایج، تثبیت کرد.

طولی نکشید که غول‌های فناوری مانند مایکروسافت و فیسبوک (که امروز با نام متا شناخته می‌شود) نیز به این حرکت پیوستند. در این میان، فیسبوک طرحی را رونمایی کرد که در آن «کارت‌های نقدی کلاه‌سفید» برای تشویق نقدی شکارچیان باگ، معرفی شدند.

تا اواخر دهه‌ی ۲۰۱۰، پلتفرم‌هایی مانند هکروان و باگ‌کراود (Bugcrowd)، این فرایند را ساده‌سازی کردند، در‌حالی‌که ابتکارات دولتی، مانند برنامه‌ی «هک پنتاگون» (Hack the Pentagon) وزارت دفاع ایالات متحده، از این مدل برای تقویت سیستم‌های حیاتی استقبال کردند.

برنامه‌های شکار باگ به شرکت‌ها این فرصت را می‌دهند که از نگاه هزاران متخصص برای بررسی مداوم نرم‌افزارهای خود استفاده کنند؛ متخصصانی که اغلب آسیب‌پذیری‌هایی را پیدا می‌کنند که ممکن است از چشم تیم‌های داخلی خود شرکت دور مانده باشد.

با تشدید چالش‌های سایبری، برنامه‌های شکار باگ به‌عنوان یک ابزار کلیدی باقی می‌مانند و به سازمان‌ها امکان می‌دهند تا در چشم‌اندازی از تهدیدات دائماً در حال تغییر، میان نوآوری و محافظت قوی توازن برقرار کنند.

درک سازوکار برنامه‌های شکار باگ، ارزش آن‌ها را در تقویت امنیت سایبری آشکار می‌کند. این برنامه‌ها به دقت طراحی شده‌اند تا با ساختاری منسجم، حداکثر تأثیر امنیتی را تضمین کنند. طراحی برنامه‌ها از تعیین قوانین پایه‌ای گرفته تا مدیریت چرخه‌ی عمر یک آسیب‌پذیری گزارش شده، توسط مهندسان نرم‌افزار، جزءبه‌جزء مورد بررسی قرار می‌گیرد.

برنامه‌های شکار باگ بر روی یک چارچوب شفاف بنا شده‌اند که با تعیین حوزه، آغاز می‌شود. حوزه، نرم‌افزار یا سرویس خاصی را مشخص می‌کند که هکرهای اخلاق‌مدار، مجاز به بررسی آن‌ها هستند. این حوزه می‌تواند روی یک سرویس کوچک تمرکز شود (مانند یک وب‌سایت)، یا پوششی گسترده‌تر شامل تمام زیردامنه‌های یک درگاه اینترنتی داشته باشد یا حتی بخش‌های هر نرم‌افزار سازمانی را که در معرض دید شبکه است، در برگیرد.

مجتبی بوالحسنی

آسیب‌پذیری نرم‌افزاری چیست و چرا تعداد زیادی از آن‌ها وجود دارد؟

مطالعه '6

با بلوغ برنامه‌های شکار باگ، بسیاری از شرکت‌ها، حوزه‌ی شناسایی را برای دربرگرفتن آسیب‌پذیری‌های بالقوه‌ی بیشتر، گسترش می‌دهند تا با تهدیدات در حال تکامل سازگار شوند. قوانین تعامل، حوزه‌ی بررسی باگ‌ها را تکمیل می‌کنند و دستورالعمل‌های ضروری را برای قانونی و ایمن نگه‌داشتن فرایند تست، ارائه می‌دهند.

قوانین تعامل، همچنین اقداماتی مانند دسترسی به داده‌های کاربران، اجرای حملات مخرب، یا افشای زودهنگام نقص‌ها را ممنوع می‌کنند و درعین‌حال، نوشتن گزارش دقیق، شامل مراحل بازتولید آسیب‌پذیری و اثبات‌ وجود باگ را الزامی می‌سازند.

پاداش‌ها، موتور محرک مشارکت هستند و جوایز نقدی متناسب با شدت آسیب‌پذیری‌ها تعریف می‌شوند. در تعیین مبلغ پاداش‌ها، مسائل حیاتی مانند اجرای کد از راه دور (Remote Code Execution یا RCE) بالاترین پاداش‌ها را به خود اختصاص می‌دهند. در کنار پاداش نقدی، مزایای غیرنقدی مانند معروفیت یا بهره‌برداری از محصولات شرکت هم قرار خواهند گرفت. با این ترکیب از مشوق‌ها، هکرها به تمرکز بر روی نقص‌های با تأثیر بالا روی می‌آوردند و تلاش‌های خود را با اهداف امنیتی سازمان همسو می‌کنند.

در قلب برنامه‌های شکار باگ، یک جامعه بزرگ و فعال از هکرهای کلاه سفید قرار دارد. این افراد را نباید با هکرهای مخرب اشتباه گرفت؛ برخلاف آنها، کلاه سفیدها کاملاً قانونی و با هدف پیدا کردن نقاط ضعف و در نتیجه، امن‌تر کردن نرم‌افزارها فعالیت می‌کنند. این جامعه‌ی بین‌المللی ترکیبی است از متخصصان کارکشته‌ی امنیت، فریلنسرها و حتی علاقه‌مندانی که هر کدام با مهارت‌های خاص خود، به دنبال کشف حفره‌های امنیتی پنهان هستند.

انگیزه‌ی کلاه‌سفیدها، گاهی فراتر از منافع مالی است. برخی از آن‌ها، از طریق قرارگیری نام خود در فهرست تالار مشاهیر اعتبار کسب می‌کنند و از این فرصت برای تقویت تخصص در زمینه‌ای با تغییرات سریع، بهره می‌برند. برای برخی، مانند نوابغ خودآموخته یا کسانی که شغل خود را تغییر می‌دهند، برنامه‌های شکار باگ، درهایی را به سوی حرفه‌‌ی امنیت سایبری می‌گشایند، بدون آنکه نیاز به ارائه‌ی مدارک تحصیلی رسمی داشته باشند.

با استفاده از استعدادهای گوناگون، برنامه‌های شکار باگ به کمبود مهارت در صنعت پاسخ می‌دهند و نیروی کاری منعطف و مقیاس‌پذیر در اختیار سازمان‌ها می‌گذارند که می‌توان از آن در مواقع نیاز، به‌صورت هدفمند  بهره برد.

سفر آسیب‌پذیری‌های امنیتی با کشف آن‌ها آغاز می‌شود. پس از یافتن باگ، هکرها، گزارش‌های دقیقی را که شامل مراحل بازتولید و اثبات می‌شود، از طریق کانال‌های امن، ارسال می‌کنند. این گزارش‌ها تحت بررسی و اولویت‌بندی دقیق قرار می‌گیرند، تا از گزارش موارد تکراری یا نامعتبر به کارشناسان جلوگیری شود.

برای مثال، یک گزارش می‌تواند شامل کد مخرب یا ویدئویی باشد که نشان می‌دهد چگونه باگ کشف می‌شود. تیم امنیتی ابتدا بررسی می‌کند که آیا این باگ جدید است یا قبلاً گزارش شده، سپس شدت آن را ارزیابی می‌کند تا زمان رفع آن مشخص شود.

در دنیای امنیت سایبری، پیدا شدن هر باگ یا آسیب‌پذیری می‌تواند باعث نگرانی شرکت‌ها شود. اما واقعیت این است که همه‌ی باگ‌ها به یک اندازه خطرناک نیستند. برخی از آن‌ها تهدیدهای جدی و فوری محسوب می‌شوند، در حالی که برخی دیگر صرفاً مشکلاتی جزئی هستند که دردسر چندانی ایجاد نمی‌کنند. برای شرکت‌هایی که برنامه‌ی شکار باگ دارند، درک این تفاوت و توانایی اولویت‌بندی کردن خطرات، یک اصل کلیدی و ضروری است.

آسیب‌پذیری‌ها معمولاً براساس شدت تأثیر، به سه دسته تقسیم می‌شوند:

• باگ‌های با شدت کم شامل مشکلاتی هستند که عملکرد سیستم را تحت تأثیر قرار می‌دهند یا اشکالات جزئی در کارکرد ایجاد می‌کنند، بدون آن‌که امنیت را مستقیماً به خطر اندازند؛ مانند آسیب‌پذیری اسکریپت‌نویسی XSS در صفحه‌ای غیرحساس یا باگ‌های اشیاء گرافیکی. این‌ باگ‌ها را می‌توان به چاله‌های دیجیتالی تشبیه کرد که آزاردهنده هستند، اما فاجعه‌ای ایجاد نمی‌کنند.
• آسیب‌پذیری‌های با شدت متوسط در منطقه‌ای خاکستری قرار دارند؛ این‌ها ممکن است در شرایط خاصی قابل بهره‌برداری باشند، اما خطر فوری به همراه ندارند. به‌عنوان مثال، اشکالاتی که دسترسی غیرمجاز به داده‌های غیرحیاتی را ممکن می‌سازند یا نیاز به تعامل خاص کاربر دارند.
• باگ‌های با شدت بالا همان کابوس تیم‌های امنیتی‌اند: نقص‌های حیاتی مانند اجرای کد از راه دور، تزریق SQL که پایگاه‌های داده‌ی حساس را افشا می‌کند، یا دور زدن احراز هویت که کنترل کامل سیستم را به دست مهاجم می‌سپارد. این باگ‌ها غالباً با نام روز صفر (Zeo-day) نامیده می‌شوند، زیرا برای حل آن‌ها هیچ روز اضافه‌ای زمان وجود ندارد.

بااین‌حال، زمینه‌ی وقوع باگ، شدت تهدید را تعیین‌ می‌کند. شدت یک باگ، تنها به ویژگی‌های فنی آن بستگی ندارد، بلکه به محیطی که در آن یافت می‌شود نیز وابسته است. یک نقص ظاهراً جزئی در یک برنامه‌ی عمومی وب می‌تواند بمبی ساعتی باشد، درحالی‌که همان مشکل در ابزاری داخلی با دسترسی محدود می‌تواند اولویت پایینی داشته باشد.

تفاوت‌های ظریف در تعریف باگ و حوزه‌ی آن، نکته‌ای را برجسته می‌کند: هر باگ، بحران امنیتی نیست. بسیاری از آسیب‌پذیری‌ها، به‌ویژه باگ‌های با شدت کم، می‌توانند از طریق وصله‌های دوره‌ای، بدون نیازی به اعلام وضعیت اضطراری، برطرف شوند. اما هر باگ، هرچند کوچک، شایسته‌ی بررسی است؛ حتی نقص‌های جزئی می‌توانند به پله‌هایی برای مهاجمان یا نشانه‌هایی از مشکلات عمیق‌تر تبدیل شوند.

درنهایت، پرسش این نیست که آیا هر باگ یک بحران است یا نه؛ مسئله‌ی کلیدی این است که آیا سازمان‌ها می‌توانند تفاوت بین یک تهدید جدی و یک مشکل کوچک را تشخیص و سپس به‌درستی واکنش نشان دهند. داستان سانتیاگو لوپز، نمونه‌ی خوبی برای این موضوع است. همه‌ی باگ‌هایی که او پیدا کرد، فاجعه‌های امنیتی نبودند؛ بسیاری از آن‌ها مشکلاتی با درجه‌ خطر کم یا متوسط بودند که در مجموع، امنیت سیستم‌ها را تقویت کردند.

استقبال گسترده از برنامه‌های شکار باگ توسط شرکت‌های پیشرو فناوری و نهادهای دولتی، نقش حیاتی آن‌ها را در تقویت تلاش‌های مدرن امنیت سایبری برجسته می‌کند. تاکنون، چندین سازمان برجسته، برنامه‌های شکار باگ موفق و گسترده‌ای را راه‌اندازی کرده‌اند.

برای مثال، برنامه‌ی شکار باگ گوگل که از سال ۲۰۱۰ راه‌اندازی شد، یکی از اولین و مهم‌ترین برنامه‌ها در این حوزه است. این برنامه طیف وسیعی از محصولات گوگل، از موتور جستجو گرفته تا اندروید و کروم را پوشش می‌دهد. برای درک بهتر مقیاس این برنامه، کافی است بدانیم که گوگل فقط در سال ۲۰۲۴، حدود ۱۲ میلیون دلار به محققان امنیتی در سراسر جهان پاداش پرداخت کرد. با این مبلغ، مجموع کل پاداش‌های پرداختی این شرکت از ابتدا تا امروز به بیش از ۶۵ میلیون دلار رسیده است. این برنامه همچنین به طور ویژه روی حوزه‌های جدیدی مانند امنیت هوش مصنوعی و دستگاه‌های هوشمند نیز تمرکز دارد.

شرکت‌های دیگر نیز برنامه‌های جامعی در شناسایی باگ‌ها و پرداخت جایزه دارند. برنامه‌های گسترده‌ی جایزه‌ی مایکروسافت، بررسی دقیق اکوسیستم آن شامل پلتفرم‌هایی مانند مایکروسافت ۳۶۵، آژور و داینامیکس ۳۶۵ را تشویق می‌کند. علاوه‌بر مشوق‌های مالی، مایکروسافت از طریق برنامه‌ی قدردانی از محققان (Researcher Recognition Program) با ارائه‌ی تقدیرهای عمومی، تعامل با محققان را افزایش می‌دهد.

برنامه‌ی جایزه‌ی امنیتی اپل بر امن‌سازی اکوسیستم به‌هم‌پیوسته‌ی آن، شامل iOS، مک‌اواس و سایر سیستم‌های عامل تمرکز دارد. در بطن طرح اپل، برنامه‌ی دستگاه تحقیقات امنیتی (Security Research Device Program) قرار دارد که به محققان تأییدشده، آیفون‌های ویژه‌ای ارائه می‌دهد تا امکان کاوش عمیق در امنیت iOS را فراهم کنند؛ امری که منجر به کشف آسیب‌پذیری‌های قابل توجهی شده است.

علاوه بر برنامه‌هایی که خود شرکت‌ها اجرا می‌کنند، پلتفرم‌هایی مانند هکروان و باگ‌کراود (Bugcrowd) هم نقش بسیار مهمی در این اکوسیستم دارند. این پلتفرم‌ها، به‌عنوان یک واسطه برای شرکت‌ها و سازمان‌های مختلف عمل کرده و تمام مراحل کار، از گزارش آسیب‌پذیری گرفته تا پرداخت پاداش را برای دو طرف ساده‌تر می‌کنند.

اینکه شرکت‌های بزرگی مانند گوگل میلیون‌ها دلار در این زمینه سرمایه‌گذاری می‌کنند، یک پیام روشن دارد: تیم‌های امنیتی داخلی، هرچقدر هم که قوی باشند، دیگر به تنهایی برای مقابله با تهدیدهای سایبری که روزبه‌روز پیچیده‌تر می‌شوند، کافی نیستند.

برنامه‌های شکار باگ به‌گونه‌ای طراحی شده‌اند که با جذب محققان نخبه، مهارت‌های آن‌ها را با مشوق‌های قابل توجهی به سمت آسیب‌پذیری‌های اولویت‌دار هدایت کنند. به‌عنوان مثال، برنامه‌ی GVRP گوگل پاداش‌های چشمگیری ارائه می‌دهد که برای مشکلات عمومی به ۱۵۱٬۵۱۵ دلار و برای نقص‌های حیاتی برنامه‌های اندرویدی به ۳۰۰٬۰۰۰ دلار نیز می‌رسد. برنامه‌ی VRP گوگل، همچنین پاداش‌های اضافی برای شناسایی منشأ باگ‌ها در نظر گرفته است.

پاداش‌های گیت‌هاب از ۶۱۷ دلار تا بیش از ۳۰٬۰۰۰ دلار برای باگ‌های حیاتی، متغیر است. برترین شرکت‌کنندگان، به برنامه‌ی هک‌توکت (Hacktocat) آن راه می‌یابند که همکاری با توسعه‌دهندگان برتر گیت‌هاب را تضمین می‌کند. این پاداش‌های فزاینده، بازتابی از پیچیدگی روزافزون سیستم‌های دیجیتال را نشان می‌دهد که توسعه‌دهندگان تلاش می‌کنند راه نفوذ هکرهای دنیای زیرزمینی وب را مسدود کند.

پیشرفت فناوری، به‌طور دائم برنامه‌های شکار باگ را بازتعریف می‌کند و هوش مصنوعی، پیشتاز این تغییر است. هوش مصنوعی با خودکارسازی فرایندها، تست‌های امنیتی را ارتقا می‌بخشد. پیش‌بینی‌ها نشان می‌دهد که ابزارهای مبتنی بر هوش مصنوعی تا سال ۲۰۲۸ در زمینه‌ی تشخیص باگ، از هکرهای کلاه‌سفید نفوذ انسانی پیشی بگیرند، امری که هکرها را وادار می‌کند تا مهارت‌های تخصصی خود را تقویت کنند.

همزمان، ظهور وب ۳، بلاک‌چین (Blockchain) و اینترنت اشیا (IoT)، دامنه‌ی آسیب‌پذیری‌ها را گسترش می‌دهد و مستلزم تلاش‌های امنیتیِ هدفمند است. در این میان، پلتفرم‌هایی مانند کانتینا (Cantina) در حال طراحی جایزه‌هایی برای پروتکل‌های وب ۳ هستند تا چالش‌های منحصربه‌فرد سیستم‌های غیرمتمرکز را مورد توجه قرار دهند.

باوجود استقبال شرکت‌های بزرگ، برنامه‌نویسان آزاد و هکرهای کلاه‌سفید، برنامه‌های شکار باگ، با موانع قابل توجهی دست‌و‌پنجه نرم می‌کنند. کمبود استعدادهای امنیت سایبری همچنان مشکلی پابرجا به‌حساب می‌آید و تیم‌های داخلی را هنگام مدیریت حجم بالای گزارش‌های دریافتی از یک جامعه‌ی خارج از سازمان و اغلب تأییدنشده، تحت فشار قرار می‌دهد.

مسئله‌ی مهم دیگر، ابهامات و ریسک‌های حقوقی است. نبود قوانین کاملاً شفاف می‌تواند هم برای هکرهای کلاه سفید و هم برای خود شرکت‌ها نگران‌کننده باشد.

علاوه بر این‌ها، پیش‌بینی‌ناپذیر بودن هزینه‌ها نیز یک چالش جدی در بودجه‌بندی است. از آنجا که هیچ شرکتی نمی‌داند چه تعداد باگ و با چه درجه‌ی اهمیتی پیدا خواهد شد، تخصیص یک بودجه‌ی ثابت و دقیق برای پاداش‌ها تقریباً غیرممکن است.

با تکامل برنامه‌های شکار باگ، به‌ویژه با ابزارهای مبتنی بر هوش مصنوعی که اولویت‌بندی را خودکار می‌کنند، توانایی دسته‌بندی سریع و اقدام براساس آسیب‌پذیری‌ها به ستونی اساسی در امنیت سایبری تبدیل خواهد شد.

در دهه‌ی آینده، برنامه‌های شکار باگ، تمرکز خود را بر حوزه‌های پرریسک مانند هوش مصنوعی و رایانش کوانتومی افزایش خواهند داد. با گسترش استفاده از ایجنت‌های هوش مصنوعی، روش‌های خودکارسازی اجرای نرم‌افزارها و سرویس‌ها، تشخیص باگ‌های معمولی را ساده‌سازی خواهد کرد و به نبوغ انسانی اجازه می‌دهد تا به سراغ آسیب‌پذیری‌های پیچیده‌تر برود.