$5のプロンプトで$2,163の脆弱性を見つけてみた。
こんにちは、ユン・ソクチャンです。
主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。
下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。
二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と話題を集めました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち1件が有効なsecurity issueと判断され、CVEが発行されました。LLMだけで見つけた初めての脆弱性だったため、この経験を業界に共有したいと思い、本記事を書くことにしました。
ちなみに、タイトルに書いた$2,163という金額は、HackerOneのInternet Bug BountyプログラムでDjangoの中程度の深刻度のsecurity issueを発見した場合に支払われる報酬額(約300
