KI sorgt für einen Anstieg der „Bug-Bounty“-Meldungen, aber auch die „Slop“ nimmt zu
Krypto-Protokolle haben gewarnt, dass ein zunehmender Einsatz von KI zu einer Flut gefälschter Bug-Bounty-Einreichungen geführt hat, was eine Belastung für Teams darstellt, die versuchen, echte Bedrohungen für ihre Protokolle zu identifizieren.
Bug Bounties sind ein System zur Belohnung „guter“ Hacker für die Übermittlung von Berichten über potenzielle Schwachstellen und erfreuen sich in der Kryptoindustrie großer Beliebtheit. KI hat es jetzt einfacher gemacht, große Codemengen zu durchsuchen, um mögliche Fehler zu finden, obwohl KI bekanntermaßen auch Halluzinationen hervorruft.
„KI verändert die Art und Weise, wie Bug-Bounty-Programme funktionieren müssen“, sagte Barry Plunkett, Co-CEO von Cosmos Labs, am Dienstag als Antwort auf einen Bug-Bounty-Jäger, der dem Protokoll vorwarf, seinen Schwachstellenbericht zu ignorieren.
Quelle: Barry Plunkett
„Unser Programm hat im Vergleich zum letzten Jahr einen Anstieg des Einreichungsvolumens um 900 % verzeichnet, in der Größenordnung von 20 bis 50 pro Tag“, sagte er und fügte hinzu, dass dies zu einem enormen Anstieg sowohl gültiger als auch ungültiger Berichte geführt habe.
Kadan Stadelmann, Blockchain-Entwickler und Chief Technology Officer bei Komodo Platform, sagte gegenüber Cointelegraph, er habe auch einen deutlichen Anstieg der Einreichungen und Auszahlungen von Bug-Bountys in allen Organisationen festgestellt.
„Es hat auf jeden Fall einen Anstieg von Bug-Bounty-Einsendungen minderer Qualität gegeben, von denen einige falsch positiv waren, was möglicherweise auf eine KI-Beschaffung hindeutet. Eine mögliche Erklärung ist, dass KI zu einer Senkung der Kosten für die Erstellung eines Berichts geführt hat, was zu einem Zustrom an Einreichungen geführt hat.“
Im Januar kündigte Daniel Stenberg, der Erfinder des Open-Source-Datenübertragungstools Curl, das in vielen Anwendungen, einschließlich der Blockchain-Infrastruktur, verwendet wird, an, dass er sein Bug-Bounty-Programm aufgrund einer Flut von „KI-Schwachstellen in Schwachstellenberichten“ beenden werde, und er war von der Durchsicht dieser Berichte erschöpft.
Der Entwickler des Open-Source-Datenübertragungstools Curl sagte, er habe eine Flut von Bug-Bounty-Einsendungen erhalten. Quelle: Daniel Stenberg
HackerOne, eine der größten Bug-Bounty-Plattformen der Welt, berichtete im Januar, dass es im Jahr 2025 85.000 gültige Bounty-Einreichungen gab, 7 % mehr als im Vorjahr.
KI könnte sowohl Ursache als auch Lösung sein
Plunkett sagte, Cosmos Labs habe aufgrund des Anstiegs der Bug-Bounty-Einreichungen bereits mit der Anpassung seines Ansatzes begonnen, indem es die Bewertung der Einreichungen verschärft, vertrauenswürdige Forscher mit nachgewiesener Erfolgsbilanz priorisiert und mit anderen Bug-Bounty-Anbietern zusammenarbeitet, die eine erweiterte Triage anbieten.
Unterdessen sagte Stadelmann, Bug-Bounty-Programme hätten sich als integraler Bestandteil der Verteidigung dezentraler Systeme erwiesen, und die Einführung von KI zur Unterstützung bei der Durchsicht des Lärms könnte eine Lösung sein.
„Blockchain-Teams müssen KI-Abschreckungsmittel entwickeln, um eingehende Fehlerprämien zu durchsieben. Je kleiner das Team, desto größer wird das Problem erhöhter Fehlerprämien. Softwareentwickler werden nicht die Kapazitäten haben, alles zu untersuchen“, sagte er.
„Hier werden defensive KI-Systeme zur automatischen Durchsicht eingehender Bug-Bounties von entscheidender Bedeutung sein. Teams, die auf Bug-Bounties angewiesen sind, müssen strengere Standards für ihre Bug-Bounty-Programme entwickeln, um die Anzahl der eingehenden Meldungen zu verringern.“
Verwandt: Krypto-Hacker haben in den letzten 10 Jahren 17 Milliarden US-Dollar gestohlen: DefiLlama