Krypto-Teams verzeichnen einen Anstieg der Bug-Bounty-Einreichungen, da Tools für künstliche Intelligenz das Scannen von Code und das Verfassen von Berichten erleichtern.
Gleichzeitig berichten viele Protokolle, dass das wachsende Volumen mehr minderwertige oder ungenaue Ergebnisse umfasst, was die Überprüfungsarbeit erschwert.
Bug-Bounty-Programme belohnen Sicherheitsforscher für das Melden von Softwarefehlern, bevor Angreifer sie ausnutzen. Im Kryptobereich sind diese Programme zu einem festen Bestandteil der Sicherheitsbemühungen geworden, da Protokolle oft große Mengen an Benutzergeldern verwalten und über Open-Source-Code funktionieren.
Barry Plunkett, Co-CEO von Cosmos Labs, sagte, KI verändere die Funktionsweise von Bug-Bounty-Programmen. Er sagte, das Programm des Unternehmens habe im letzten Jahr einen starken Anstieg des Volumens verzeichnet.
„Unser Programm hat im Vergleich zum Vorjahr einen Anstieg des Einreichungsvolumens um 900 % verzeichnet, in der Größenordnung von 20-50 pro Tag“, bemerkte Plunkett.
Er fügte hinzu, dass der Anstieg sowohl gültige als auch ungültige Berichte umfasste, was den Teams, die versuchen, echte Probleme von schwachen Behauptungen zu trennen, zusätzliche Arbeit bereitet.
Kadan Stadelmann, Chief Technology Officer bei Komodo Platform, sagte ebenfalls, er habe ein Wachstum bei Bug-Bounty-Einreichungen und Auszahlungen bei verschiedenen Organisationen beobachtet. Er sagte, einige neuere Berichte schienen von geringer Qualität zu sein und in einigen Fällen möglicherweise Fehlalarme dargestellt zu haben.
„Es gab definitiv einen Anstieg minderwertiger Bug-Bounty-Einreichungen, von denen einige Fehlalarme waren, was möglicherweise auf KI-Quellen hindeutet“, sagte Stadelmann gegenüber Cointelegraph.
Er fügte hinzu, dass KI die Kosten und den Aufwand für die Erstellung eines Berichts gesenkt haben könnte, was zu mehr Einreichungen führt.
KI-Tools können Forschern helfen, große Mengen an Code zu überprüfen und schneller auf mögliche Schwachstellen hinzuweisen. Das hat es Sicherheitsforschern erleichtert, an Bounty-Programmen teilzunehmen und Ergebnisse an Protokolle zu senden.
KI-Systeme können jedoch auch ungenaue Ergebnisse generieren. Bei der Bug-Bounty-Arbeit kann das bedeuten, dass Teams Berichte erhalten, die technisch klingen, aber keine echten Fehler beschreiben. Dies erhöht den Druck auf Entwickler und Sicherheitspersonal, die jede Behauptung überprüfen müssen.
Der breitere Trend ist auch außerhalb des Kryptobereichs sichtbar. Im Januar sagte Daniel Stenberg, der Entwickler des Open-Source-Tools curl, er beende sein Bug-Bounty-Programm, nachdem er mit einem Zustrom von „KI-Müll in Schwachstellenberichten“ zu kämpfen hatte.
HackerOne, eine der größten Bug-Bounty-Plattformen, berichtete im Januar, dass sie 2025 85.000 gültige Bounty-Einreichungen verzeichnete. Diese Zahl war ein Anstieg von 7 % gegenüber dem Vorjahr.
Mit steigendem Einreichungsvolumen ändern einige Krypto-Teams die Art und Weise, wie sie Bounty-Programme betreiben. Plunkett sagte, Cosmos Labs habe die Bewertung eingehender Berichte verschärft und messe nun vertrauenswürdigen Forschern mit einer guten Erfolgsbilanz mehr Gewicht bei.
Er sagte auch, dass das Unternehmen mit Bug-Bounty-Anbietern zusammenarbeitet, die eine erweiterte Triage-Unterstützung anbieten. Dieser Schritt soll dazu beitragen, den Zeitaufwand für die Überprüfung schwacher oder doppelter Einreichungen zu reduzieren.
Diese Änderungen zeigen, dass Teams versuchen, Bounty-Programme nützlich zu halten, gleichzeitig die durch KI-gestützte Berichterstattung entstandene zusätzliche Belastung zu bewältigen. Programme brauchen weiterhin externe Forscher, aber sie brauchen auch stärkere Filter.
Stadelmann sagte, KI könnte auch Teil der Lösung sein. Er sagte, kleinere Teams könnten am meisten zu kämpfen haben, weil sie weniger Ingenieure zur Verfügung haben, um eine große Anzahl von Einreichungen zu prüfen.
„Blockchain-Teams werden KI-Abschreckungsmittel entwickeln müssen, um eingehende Bug Bounties zu durchsuchen“, sagte er.
Er fügte hinzu, dass defensive KI-Systeme Berichte sortieren und die Belastung für interne Teams reduzieren könnten.
Stadelmann sagte auch, dass Protokolle möglicherweise strengere Standards für Einreichungen benötigen, um die Anzahl schwacher Berichte zu reduzieren. Da sich KI-Tools verbreiten, werden Bug-Bounty-Programme wahrscheinlich aktiv bleiben, aber Teams könnten neue Prozesse zur Bewältigung des wachsenden Flusses benötigen.
