L’IA entraîne une augmentation des rapports de « bug bounty », mais la « pente » augmente également
Les protocoles cryptographiques ont averti qu'une augmentation de l'utilisation de l'IA a conduit à un flot de fausses soumissions de bug bounty, mettant à rude épreuve les équipes qui tentent d'identifier les menaces réelles pesant sur leurs protocoles.
Les primes aux bogues sont un système visant à récompenser les « bons » pirates informatiques qui soumettent des rapports sur des vulnérabilités potentielles et sont populaires dans l'industrie de la cryptographie. L’IA facilite désormais l’analyse de grandes quantités de code pour trouver d’éventuels bugs, même si l’IA est également connue pour halluciner.
"L'IA change la façon dont les programmes de bug bounty doivent fonctionner", a déclaré mardi Barry Plunkett, co-PDG de Cosmos Labs, en réponse à un chasseur de bug bounty qui accusait le protocole d'ignorer son rapport de vulnérabilité.
Source : Barry Plunkett
« Notre programme a connu une augmentation de 900 % du volume de soumissions par rapport à l'année dernière, de l'ordre de 20 à 50 par jour », a-t-il déclaré, ajoutant que cela a entraîné une énorme augmentation du nombre de rapports valides et invalides.
Kadan Stadelmann, développeur de blockchain et directeur de la technologie chez Komodo Platform, a déclaré à Cointelegraph qu'il avait également constaté une augmentation notable des soumissions de bug bounty et des paiements dans les organisations.
"Il y a certainement eu une augmentation des soumissions de bug bounty de mauvaise qualité, dont certaines étaient des faux positifs, suggérant potentiellement un recours à l'IA. Une explication potentielle est que l'IA a entraîné une diminution du coût de production d'un rapport, entraînant un afflux de soumissions. "
En janvier, Daniel Stenberg, le créateur de l'outil de transfert de données open source curl, utilisé dans de nombreuses applications, y compris l'infrastructure blockchain, a annoncé qu'il mettait fin à son programme de bug bounty en raison d'un afflux de « slops de l'IA dans les rapports de vulnérabilité », et il était épuisé de les passer au crible.
Le créateur de l'outil open source de transfert de données curl a déclaré avoir reçu un afflux de soumissions de bug bounty. Source : Daniel Stenberg
HackerOne, l'une des plus grandes plateformes de bug bounty au monde, a rapporté en janvier qu'il y avait eu 85 000 soumissions de primes valides en 2025, soit une hausse de 7 % par rapport à l'année précédente.
L’IA pourrait être à la fois la cause et la solution
Plunkett a déclaré que Cosmos Labs a déjà commencé à adapter son approche en raison de l'augmentation des soumissions de bug bounty en resserrant la façon dont il note les soumissions, en donnant la priorité aux chercheurs de confiance ayant fait leurs preuves et en travaillant avec d'autres fournisseurs de bug bounty qui offrent un tri plus avancé.
Pendant ce temps, Stadelmann a déclaré que les programmes de bug bounty se sont avérés essentiels à la défense des systèmes décentralisés, et que l'adoption de l'IA pour aider à passer au crible le bruit pourrait être une solution.
"Les équipes blockchain devront créer des moyens de dissuasion par l'IA pour filtrer les bug bounties entrants. Plus l'équipe est petite, plus le problème de l'augmentation des bug bounties deviendra grand. Les ingénieurs logiciels n'auront pas la capacité de tout examiner", a-t-il déclaré.
"C'est là que les systèmes d'IA défensifs pour filtrer automatiquement les bug bounties entrants seront cruciaux. Les équipes qui dépendent des bug bounties devront développer des normes plus strictes sur leurs programmes de bug bounty afin de réduire le nombre de rapports entrants. "
En relation: Les pirates cryptographiques ont volé 17 milliards de dollars au cours des 10 dernières années : DefiLlama