Is geheimhoudingsplicht bij het vinden van bugs nog haalbaar nu iedereen AI gebruikt?

In dit artikel:

Veel organisaties die werken met responsible disclosure of coordinated vulnerability disclosure vragen onderzoekers om gevonden lekken tijdelijk geheim te houden, zodat zij eerst een update kunnen maken en misbruik kunnen voorkomen. De vraag in deze rubriek is of zo’n geheimhoudingsplicht ook blijft gelden wanneer een kwetsbaarheid met hulp van een AI-tool is opgespoord.

Ict-jurist Arnoud Engelfriet legt uit dat het doel van deze afspraken juist is om een balans te vinden tussen stil oplossen en voldoende druk houden op de partij die het probleem moet repareren. Volgens hem is geheimhouding alleen logisch zolang de informatie nog niet openbaar is. Als de kwetsbaarheid al breed beschreven is in de media, kun je niet worden verplicht precies diezelfde kennis verborgen te houden. Wel moet de publieke informatie echt overeenkomen met jouw eigen bevindingen; algemene berichten over een bug in een bepaald product maken details over locatie, timing en communicatie met de organisatie niet automatisch openbaar.

Dat een lek met behulp van AI is ontdekt, verandert volgens Engelfriet in principe niets aan die plicht. Het feit dat een tool is gebruikt, betekent niet dat de kwetsbaarheid openbaar is geworden. Ook het argument dat AI-aanbieders ingevoerde data mogelijk hergebruiken, is daarvoor niet genoeg: wie zich op openbaarmaking beroept, moet concreet kunnen aantonen dat de informatie daadwerkelijk via die route publiek is geworden. Kortom: AI bij het vinden van een lek neemt geheimhouding niet zomaar weg.