Programmi di bug bounty sopraffatti da falsi report generati dall'IA

Le iniziative di bug bounty, che compensano gli hacker per l'identificazione di difetti software, sono attualmente sopraffatte da report di bassa qualità generati dall'IA, spingendo alcune aziende a sospendere i loro programmi. Bugcrowd, che serve clienti come OpenAI, T-Mobile e Motorola, ha registrato un aumento quadruplo delle segnalazioni in tre settimane a marzo, la maggior parte delle quali erano inaccurate. A gennaio, Curl, un'applicazione di trasferimento dati, ha sospeso il suo programma di bug bounty a pagamento, citando un'"esplosione di report spazzatura generati dall'IA". Gli esperti di cybersecurity osservano che l'IA generativa sta alterando le dinamiche dei bug bounty: accelera il rilevamento dei difetti per i ricercatori esperti, ma invita anche un'ondata di voci automatizzate o errate. Ross McKerchar, chief information security officer di Sophos, ha osservato che l'aumento dei report IA di bassa qualità sta "diventando rapidamente un problema serio", richiedendo un'evoluzione dei programmi di bug bounty. Dall'inizio degli anni 2000, i bug bounty si sono espansi, con pagamenti sostanziali per scoperte significative. Nel 2024, il programma di Google ha erogato 17 milioni di dollari, in aumento rispetto ai 7,5 milioni del 2021, e ha assegnato il suo singolo pagamento più alto di 605.000 dollari nel 2022 per una vulnerabilità di Android. McKerchar ha notato che l'afflusso di segnalazioni di scarsa qualità proviene sia da principianti che da ricercatori esperti occasionalmente fuorviati dagli strumenti IA.