Les inondations de bugs par l'IA submergent les programmes de bug bounty alors que les entreprises peinent face aux rapports frauduleux

En résumé

* Les entreprises gérant des programmes de chasse aux bugs rapportent une forte augmentation des soumissions de faible qualité générées par l'IA.
* HackerOne et Nextcloud ont tous deux suspendu leurs programmes de chasse aux bugs après des vagues de faux rapports.
* Les sociétés de cybersécurité disent que les outils d'IA changent la chasse aux bugs en facilitant la soumission de rapports à grande échelle.

L'intelligence artificielle crée un nouveau casse-tête pour les entreprises qui comptent sur les programmes de chasse aux bugs pour découvrir les vulnérabilités logicielles.
Les sociétés de cybersécurité et les projets de logiciels open-source font face à une hausse de rapports de bugs générés par l'IA, dont beaucoup sont faux ou trompeurs. Selon un rapport du Financial Times, le nombre croissant de soumissions de faible qualité oblige certaines organisations à suspendre leurs programmes de chasse aux bugs, car les équipes de sécurité passent plus de temps à trier les vulnérabilités réelles du spam.
Les chasse aux bugs sont également devenues une activité lucrative, avec des entreprises comme Meta, Microsoft, Apple et Crypto.com payant collectivement au moins 58 millions de dollars en 2025 aux chercheurs qui découvrent des failles logicielles avant que les hackers ne le fassent.

Cependant, les outils d'IA générative facilitent aussi l'exploitation des programmes de chasse aux bugs en produisant en grande quantité des rapports de vulnérabilités inexactes ou de faible qualité.

Selon Bugcrowd, basé à San Francisco, les rapports soumis via sa plateforme ont plus que quadruplé en trois semaines en mars. La société, dont les clients incluent le développeur de ChatGPT, OpenAI, a déclaré que la majorité des rapports étaient faux.
En raison de l'afflux de rapports générés par l'IA, certaines entreprises ont déjà commencé à réduire leurs programmes publics de chasse aux bugs.

« Les chasse aux bugs vont rester [but] elles vont devoir changer », a déclaré Ross McKerchar, directeur de la sécurité de l'information chez la société de cybersécurité Sophos, au Financial Times.
En avril, la plateforme de cybersécurité HackerOne et la plateforme d'hébergement Nextcloud ont toutes deux suspendu leur programme de chasse rémunérée, Nextcloud ajoutant que « aucune récompense financière ne sera attribuée pour aucune soumission, quelle que soit sa gravité ».
« Comme vous le savez probablement, c'est un défi à l'échelle de l'industrie et, comme d'autres, nous n'avons pas réussi à trouver des moyens de gérer de manière responsable l'augmentation massive de rapports de faible qualité », a écrit Nextcloud. « Nous espérons pouvoir relancer le programme une fois qu'une approche fiable pour filtrer les rapports peu approfondis aura été trouvée. »
Les nouvelles concernant la chasse aux bugs interviennent alors que les modèles d'IA deviennent de plus en plus performants pour détecter les vulnérabilités. En mars, Anthropic a présenté Mythos, un modèle d'IA axé sur la cybersécurité que la société affirme capable d'identifier les vulnérabilités plus rapidement que les humains. La société garde actuellement le modèle secret, n'autorisant l'accès qu'à des géants de la technologie, des sociétés de sécurité et des gouvernements.
En avril, Claude Mythos a identifié 271 vulnérabilités dans Mozilla Firefox lors de tests internes, tandis qu'au début de ce mois, des chercheurs en sécurité ont déclaré qu'une version de prévisualisation du modèle avait aidé à développer une exploitation ciblant les puces M5 d'Apple.
Les utilisateurs de Myriad — une plateforme de marché de prédiction exploitée par la société mère de Decrypt, Dastan — ne croient pas que Claude Mythos sera publié publiquement d'ici la fin juin, estimant actuellement à seulement 18 % la probabilité qu'il le soit.