Introduction
Les entreprises qui paient des hackers pour trouver des failles dans leurs logiciels sont submergées de rapports de mauvaise qualité générés par l'IA, ce qui oblige certaines à suspendre ces programmes.
Contexte Technique
Les entreprises qui gèrent des programmes de chasse aux bugs, également appelés bug bounties, ont longtemps compté sur des chercheurs en sécurité indépendants pour détecter les vulnérabilités. Cependant, l'essor des outils d'IA générative entraîne désormais un afflux de rapports erronés ou automatisés.
Les entreprises comme Bugcrowd, qui travaille avec des clients tels qu'OpenAI, T-Mobile et Motorola, ont constaté une augmentation massive du nombre de rapports reçus, avec la plupart s'avérant être faux. Le logiciel Curl, largement utilisé pour le transfert de données sur Internet, a suspendu son programme de bug bounty payant en janvier en raison d'une « explosion de rapports d'IA de mauvaise qualité ».
Analyse et Implications
Les experts en cybersécurité estiment que les progrès de l'IA générative sont en train de modifier les économies des programmes de bug bounty. Bien que ces outils permettent aux chercheurs expérimentés de trouver des failles plus rapidement, ils abaissent également la barrière à l'entrée, déclenchant un afflux de soumissions automatisées ou erronées que les entreprises doivent analyser.
Le directeur de la sécurité de l'information chez Sophos, Ross McKerchar, a déclaré que l'augmentation des rapports d'IA de mauvaise qualité était « rapidement devenue un problème majeur » et que les programmes de bug bounty allaient devoir évoluer.
Perspective
Les programmes de bug bounty ont connu une croissance significative depuis le début des années 2000, avec des récompenses pouvant atteindre six chiffres pour les découvertes les plus importantes. L'avenir de ces programmes dépendra de leur capacité à s'adapter aux défis posés par l'IA et à trouver des moyens efficaces pour faire la part entre les rapports pertinents et ceux qui ne le sont pas.
