Varför skriver Elektroniktidningen om en indonesisk buggjägare? Jo – för att vi intervjuade honom i senaste numret av magasinet Elektroniktidningen. Nu fick han plötsligt lön för den fritid han spenderar på buggjakt. Det var det största pris han någonsin fått för sin hobby.

Numret med intervjun kom i din mejlbox idag och borde dyka upp i din brevlåda denna vecka.

Vi intervjuade Arga Reksapati för att han var den hackerstjärna som hittade inte mindre än tre av åtta säkerhetshål i senaste uppdateringen av filöverföringsbiblioteket Curl. 

Vi kontaktade honom för att gratulera, för att kolla upp hur han jobbar med AI och för att förstå varför en fattig indonesisk student lägger sin fritid på att söka efter buggar i öppen källkod.

Det fanns flera svar på den frågan: äran och erfarenheten, men också att det är en inkomstmöjlighet. 

Och då var det ett smolk i glädjebägaren att Curl alldeles nyss hade slutat att dela ut prispengar för buggar, för att möta problemet att folk skickade in ogranskade AI-rapporter som lotteribiljetter. 

Men har man sett! 

Innan trycksvärtan torkat på intervjun fick Arga Reksapati sin största buggbelöning någonsin.

– Den rankades som High Severity och Anthropic gav mig 3700 dollar. Jag är verkligen tacksam. 

– Det kan räknas som ett normalbelopp för High Severity i just det här programmet, men ett sånt här belopp är inte nödvändigtvis spikat. Summan kan bero på exakt vilken effekt buggen har, kvaliteten på beviset för buggen och hur omfattande buggen är.

Detaljerna om den specifika buggen måste hållas hemliga tills den är rättad och distribuerad.

– Jag måste vänta på tillstånd.

Det är en lustig tillfällighet att det är kod från just amerikanska AI-jätten Anthropic som Arga hittat en bugg i. 

Anthropics lansering av sin apokalyptiska buggjägare Mythos i april var ett av skälen till att Elektroniktidningen valde att göra ett extra tema om ”AI och cybersäkerhet” – och alltså att intervjua Arga Reksapati. 

Nu hittade Arga alltså en bugg som Mythos själv inte lyckats hitta hos Anthropic – skomakarens barn?

Cirkeln sluter sig. Vi valde att prata med Arga Reksapati för att han ger ett ansikte till hur AI-baserad buggjakt ser ut i verkligheten. 

I allmänmedia finns en mytisk (!) föreställning att du ger kod till en LLM och drar i en spak och så sprutar det ut buggrapporter som en jackpot med färdiga exploits – attacker baserade på buggen – eller lagningar, beroende på vilket team du spelar i.

Så enkelt är det inte, hade vi redan förstått. Det finns en LLM, som Mythos – eller gärna flera – och det finns en algoritm som styr hur den och andra verktyg används – det kallas orkestrering. Verktygen kallas harness, sele. 

Och så finns det en människa som granskar alltsammans. 

AI har kunnat användas effektivt för buggjakt sedan i fjol. Allt fler upptäcker det. Inte bara Arga Reksapati, utan merparten av de buggjägare som rapporterar till Curl gör det numera med hjälp av AI. 

Antalet inlämnade buggrapporter till projektforumet Github hade tiofaldigats sedan i höstas vid senaste räkningen efter Q1. I väntan på att någon gör en riktig analys är det en extremt rimlig gissning att den ökningen beror på att allt fler använder AI som buggsniffare.

AI-buggrapporterna duggar så tätt numera att det blir allt vanligare att den buggrapport du lämnade in redan lämnats in av någon annan.

Detta har drabbat Arga Reksapati. Han visar upp ytterligare tre buggar han hittat varav två är stämplade High Severity – men där någon annan hunnit före med att rapportera.

– Jag hade fått flera duplikat. Min belöning till slut gjorde rent med en hel del av min frustration över det. Det har gjort mig mer motiverad att leta vidare.

På den tredje står den severity ”None”?

– Det betyder inte att den inte har nån effekt. Typiskt betyder det bara att den stängdes som duplikat, att den inte klassificerades. Problemet hade redan hittats och rapporterats av någon annan forskare.

Det räcker inte att hitta en bugg – du måste dessutom vara först?

– Precis. Buggjakt är verkligen en tävling ibland. Det är en sak att hitta buggen. Det svåra är att hitta den snabbt, bevisa att det är en bugg, och sedan skicka in den innan någon annan gör det.

– Det lärde jag mig av duplikaten – att timing spelar stor roll. Men jag är fortfarande lycklig över att en av mina rapporter accepterades och belönades. Det motiverar mig att  fortsätta förbättra min forskningsmetodik och kunna jobba snabbare nästa gång.

Arga Reksapatis AI-verktyg är lite överraskande – samma ChatGPT som du och jag diskuterar grytrecept med och får bröllopsdikter från.  En skarp kontrast mot de mjukvarubolag där det idag tävlas i förbrukning av AI-watt i en masshysteri som kallas token-maxing.

Skulle du kunna jobba effektivare om du hade Claude Pro åtminstone?

– Ärligt talat så vet jag inte än. Men vem vet, kanske testar jag nu när jag har fått de här prispengarna?

– Hittills har jag ju jobbat med ganska begränsade eller fria verktyg, inklusive mycket manuell validering. Kanske skulle Claude Pro kunna hjälpa mig att jobba snabbare när jag läser kod, kontrollerar logiken och organiserar olika uppslag? Men jag tror fortfarande att det viktigaste är att förstå koden och validera buggen ordentligt.