Les développeurs de protocoles cryptographiques ont averti que l'augmentation de l'utilisation de l'IA a entraîné une vague de signalements falsifiés de récompenses pour vulnérabilités, mettant une pression considérable sur les équipes cherchant à identifier les menaces réelles pour les protocoles.
Les récompenses pour vulnérabilités sont un mécanisme qui récompense les pirates « white hat » pour la soumission de rapports sur des vulnérabilités potentielles, et elles sont très populaires dans l'industrie cryptographique. L'IA est désormais plus à même d'analyser de grandes quantités de code pour détecter des vulnérabilités potentielles, bien qu'elle soit également connue pour ses « hallucinations ».
« L’IA révolutionne le fonctionnement des programmes de récompenses pour vulnérabilités », a déclaré mardi Barry Plunkett, co-PDG de Cosmos Labs, en réponse à un chasseur de bugs qui accusait le protocole d’ignorer son rapport de vulnérabilité.
« Notre projet a vu une augmentation de 900 % des soumissions cette année par rapport à l’année dernière, avec environ 20 à 50 soumissions par jour », a-t-il déclaré, ajoutant que cela a entraîné une augmentation significative des rapports valides et invalides.
Kadan Stadelmann, développeur blockchain et chef technologue de Komodo Platform, a déclaré à Cointelegraph qu'il observait également une augmentation notable des soumissions et paiements de bugs bounty provenant des institutions.
Les soumissions de récompenses pour vulnérabilités de mauvaise qualité ont effectivement augmenté de manière significative, certaines étant des faux positifs, ce qui pourrait indiquer la participation d'intelligence artificielle. Une explication possible est que l'intelligence artificielle a réduit le coût de génération des rapports, entraînant une augmentation massive des soumissions.
En janvier de cette année, Daniel Stenberg, le créateur de curl, un outil open source de transfert de données largement utilisé, y compris dans les infrastructures blockchain, a annoncé qu'il mettait fin à son programme de récompenses pour signalement de vulnérabilités, car « les rapports de vulnérabilités étaient envahis par du contenu spam généré par l'intelligence artificielle » et qu'il était épuisé par la tâche de les trier.
L'une des plus grandes plateformes de bug bounty au monde, HackerOne, a rapporté que 85 000 soumissions valides de récompenses ont été effectuées en 2025, soit une augmentation de 7 % par rapport à l'année précédente.
L'intelligence artificielle peut être à la fois la cause et la solution.
Plunkett a déclaré qu'avec l'augmentation du nombre de soumissions de récompenses pour vulnérabilités, Cosmos Labs a commencé à ajuster sa réponse, notamment en resserrant les critères d'évaluation des soumissions, en priorisant les chercheurs fiables ayant un bon historique, et en collaborant avec d'autres plateformes de récompenses pour vulnérabilités offrant des services de filtrage plus avancés.
Meanwhile, Stadelmann said that bug bounty programs have proven to be critical in defending decentralized systems, and adopting AI to help filter out noise could be a solution.
L'équipe blockchain devra mettre en place des mécanismes de protection par intelligence artificielle pour filtrer les récompenses de découverte de vulnérabilités entrantes. Plus l'équipe est petite, plus les problèmes causés par l'augmentation des récompenses de découverte de vulnérabilités seront importants. Les ingénieurs logiciels ne sont pas en mesure d'examiner chaque élément individuellement, » a-t-il déclaré.
C’est précisément là que les systèmes d’intelligence artificielle défensifs filtrant automatiquement les récompenses de découverte de vulnérabilités deviendront essentiels. Les équipes qui comptent sur les récompenses de découverte de vulnérabilités doivent établir des critères plus stricts pour leurs programmes afin de réduire le nombre de rapports entrants.