Elektroniktidningen pratar med Arga Reksapati, en indonesisk student som hittade tre av de åtta säkerhetshålen i apriluppdateringen av svenska filöverföringsbiblioteket Curl. Hans AI-verktyg är en vanlig chattbott – det är vad han har råd med.
Elektroniktidningen har bläddrat i apriluppdateringen av Curl. 269 buggar har åtgärdats.
Åtta av rapporterna har den allvarligare stämpeln ”sårbarhet”. På tre av dem står samma namn: Arga Reksapati.
Elektroniktidningen tog kontakt.
Bra jobbat!
– Tack!
Använder du AI för att hitta buggar?
– Ja, det gör jag. Men inte som en automat eller maskin som letar och fattar beslut på egen hand. AI hjälper mig att gå snabbare fram. Den hittar misstänkta mönster och formar hypoteser.
– Jag skickar inte blint in AI-utdata.
Arga Reksapati konstaterar att det inte är en fungerande strategi. AI hallucinerar och missförstår.
– Råa AI-genererade rapporter blir oftast avfärdade. AI ger ledtrådar, men värdet ligger i filtrering, validering, reproduktion och bevis. Det är jag som gör den slutgiltiga bedömningen.
– Du kan aldrig acceptera AI:s slutsatser i blindo. Det tror jag är en grundregel. Behandla AI-utdata som hypoteser, inte bevis.
Vilka verktyg använder du?
– Just nu verkar Claude vara väldigt populärt bland buggjägare och säkerhetsforskare för att granska kod och utforska sårbarheter. Men eftersom Claude kan vara ganska dyrt använder jag huvudsakligen Chat GPT.
Den vanliga chattbotten?
– Chatgpt för hjälper mig förstå logiken i kodsnuttar. Jag tror att valet av AI-verktyg delvis är personligt. Man kan föredra olika modeller och arbetsflöden. Men poängen är inte verktyget, utan hur man validerar.
Arga Reksapati, 23 år, pluggar informationsteknik på fjärde terminen på Universitas Teknologi Bandung i Indonesien.
Han bor hos sina föräldrar och hackar hemma från sin egen laptop i ett litet rum som är så stökigt att han inte vill skicka över en bild på det.
Hans första insats inom cybersäkerhet var att – hacka skolans webbsajt.
– Den hade allvarliga svagheter. Jag fick inget betalt, men jag fick ett diplom.
Lösenord var åtkomliga och det gick att logga in i lärares konton. Efter den insatsen blev han intresserad av säkerhetsarbete och sökte bland annat upp bug bounty-program som delar ut prispengar till den som hittar intressanta sårbartheter.
Daniel Stenberg tog bort bounties från curl för att motverka AI-genererade slaskrapporter. Så dina felrapporter till Curl gav inga pengar?
– Jag är lite besviken på det. Men fortfarande motiverad – att få erkännande för en sårbarhet är mycket värdefullt.
– Men det är sant – om jag ska vara ärlig – många buggjägare, även jag, letar efter buggar delvis för inkomstmöjligheten. Så nu har jag faktiskt flyttat fokus till öppenkodsprojekt som har kvar sina bounties.
Det här är ett utdrag ur en intervju med Arga Reksapati. Resten kan du läsa i nästa nummer av Elektroniktidningen.
Prenumerera här (länk).