Een lezer vroeg me:
Tal van websites en softwarebedrijven hebben regels opgesteld voor responsible disclosure of coordinated vulnerability disclosure. Een eis die je daarbij vaak ziet, is dat je een gevonden kwetsbaarheid geheim moet houden totdat er nadere afspraken over publicatie zijn gemaakt. Meestal ook pas nadat er een update beschikbaar is. Maar stel dat je een AI-tool gebruikt om de kwetsbaarheid te vinden, geldt zo’n geheimhoudingsplicht dan nog steeds?
Responsible disclosure of coordinated vulnerability disclosure zijn bedoeld om een praktisch midden te vinden tussen enerzijds het in stilte kunnen oplossen van fouten en anderzijds het creëren van druk om die fouten ook écht opgelost te krijgen. Geheimhouding is daarbij een noodzakelijk kwaad, maar dat moet tijdelijk zijn: de deadline van publicatie is wat de organisatie dwingt om vaart te maken met het oplossen.
(RD of CVD beleid dat geheimhouding laat lopen tot de organisatie het zegt, is dus die naam niet waard. Ik zou het juridisch onrechtmatige misleiding noemen.)
Vanuit algemene principes van redelijkheid en billijkheid (art. 6:248 BW) kan een partij niet aan geheimhouding worden gehouden als het feit al publiek is. Het zou immers bizar zijn als je over een bug in detail kunt lezen in de media, terwijl jij precies diezelfde kennis geheim moet houden. Ik zeg dit wel met een voorbehoud: de publieke informatie moet wel overeen stemmen met jouw geheime kennis. Algemene uitspraken dat er een bug van die categorie is gevonden in die tool, ontslaat je dus niet van je geheimhouding over waar die bug precies zit. Ook blijft geheimhouding gelden op punten zoals wanneer jij hem ontdekte, wat de organisatie toen zei enzovoorts.
AI-tools worden massaal gebruikt om kwetsbaarheden te vinden in allerlei software. Handig voor de onderzoeker, al is niet iedere organisatie blij met slop-rapporten waarmee men snel een bug bounty hoopt te scoren. Maar het gegeven “de kwetsbaarheid werd door een AI tool gevonden” is bij lange na niet hetzelfde als “de kwetsbaarheid is openbaar”. Natuurlijk, een ander kan die tool ook gebruiken en ook die kwetsbaarheid vinden. Maar bij geheimhouding moet jij bewijzen dát dat is gebeurd en bovendien dat die ander de kwetsbaarheid openbaar heeft gemaakt.
Ook het feit van algemene bekendheid dat de ontwikkelaars van die tools ingevoerde data gebruiken voor hertraining en andere schimmige doeleinden, betekent niet dat jouw bug report ineens openbaar wordt. Je bewijs moet echt concreet zijn. Laat maar zien wanneer die ingevoerde data ook daadwerkelijk in output terecht gekomen is en vervolgens publiekelijk bekend werd.
Arnoud
