Les équipes crypto constatent une augmentation des soumissions de primes de bogues, car les outils d'intelligence artificielle facilitent l'analyse du code et la rédaction de rapports.
Dans le même temps, de nombreux protocoles affirment que le volume croissant inclut davantage de découvertes de faible qualité ou inexactes, ce qui rend le travail d'examen plus difficile.
Les programmes de primes de bogues récompensent les chercheurs en sécurité pour avoir signalé des failles logicielles avant que les attaquants ne les exploitent. Dans le domaine de la crypto, ces programmes sont devenus un élément courant des efforts de sécurité, car les protocoles gèrent souvent d'importantes sommes de fonds d'utilisateurs et opèrent via du code open-source.
Barry Plunkett, co-PDG de Cosmos Labs, a déclaré que l'IA modifiait le fonctionnement des programmes de primes de bogues. Il a précisé que le programme de l'entreprise avait connu une forte augmentation de volume au cours de la dernière année.
« Notre programme a enregistré une augmentation de 900 % du volume de soumissions par rapport à l'année dernière, de l'ordre de 20 à 50 par jour », a noté Plunkett.
Il a ajouté que cette augmentation comprenait à la fois des rapports valides et invalides, ce qui créait davantage de travail pour les équipes tentant de distinguer les problèmes réels des allégations faibles.
Kadan Stadelmann, directeur de la technologie chez Komodo Platform, a également déclaré avoir constaté une croissance des soumissions de primes de bogues et des paiements dans les organisations. Il a indiqué que certains rapports récents semblaient de faible qualité et, dans certains cas, pouvaient être des faux positifs.
« Il y a eu une nette augmentation des soumissions de primes de bogues de faible qualité, dont certaines étaient des faux positifs, suggérant potentiellement une source d'IA », a déclaré Stadelmann à Cointelegraph.
Il a ajouté que l'IA pourrait avoir réduit le coût et l'effort nécessaires pour produire un rapport, entraînant ainsi davantage de soumissions.
Les outils d'IA peuvent aider les chercheurs à examiner de grandes quantités de code et à signaler plus rapidement d'éventuelles vulnérabilités. Cela a facilité la participation des chercheurs en sécurité aux programmes de primes et l'envoi de leurs découvertes aux protocoles.
Cependant, les systèmes d'IA peuvent également générer des résultats inexacts. Dans le cadre des programmes de primes de bogues, cela peut signifier que les équipes reçoivent des rapports qui semblent techniques mais ne décrivent pas de véritables failles. Cela ajoute de la pression sur les développeurs et le personnel de sécurité qui doivent examiner chaque allégation.
Cette tendance plus large est visible au-delà de la crypto. En janvier, Daniel Stenberg, créateur de l'outil open-source curl, a déclaré qu'il mettait fin à son programme de primes de bogues après avoir fait face à ce qu'il a décrit comme un afflux de « bric-à-brac d'IA dans les rapports de vulnérabilité ».
HackerOne, l'une des plus grandes plateformes de primes de bogues, a signalé en janvier avoir enregistré 85 000 soumissions de primes valides en 2025. Ce chiffre était en hausse de 7 % par rapport à l'année précédente.
À mesure que les volumes de soumissions augmentent, certaines équipes crypto modifient la manière dont elles gèrent les programmes de primes. Plunkett a déclaré que Cosmos Labs a renforcé la manière dont il évalue les rapports entrants et accorde désormais plus de poids aux chercheurs de confiance ayant un solide dossier.
Il a également déclaré que l'entreprise travaille avec des fournisseurs de primes de bogues qui offrent un support de tri plus avancé. Cette étape vise à réduire le temps passé à examiner les soumissions faibles ou en double.
Ces changements montrent que les équipes essaient de maintenir l'utilité des programmes de primes tout en gérant la charge supplémentaire créée par les rapports assistés par l'IA. Les programmes ont toujours besoin de chercheurs externes, mais ils ont également besoin de filtres plus stricts.
Stadelmann a déclaré que l'IA pourrait également faire partie de la solution. Il a indiqué que les petites équipes pourraient avoir le plus de difficultés, car elles disposent de moins d'ingénieurs pour examiner un grand nombre de soumissions.
« Les équipes blockchain devront créer des dissuasions basées sur l'IA pour trier les primes de bogues entrantes », a-t-il déclaré.
Il a ajouté que les systèmes d'IA défensifs pourraient aider à trier les rapports et à réduire la charge de travail des équipes internes.
Stadelmann a également déclaré que les protocoles pourraient avoir besoin de normes plus strictes pour les soumissions afin de réduire le nombre de rapports faibles. À mesure que les outils d'IA se répandent, les programmes de primes de bogues sont susceptibles de rester actifs, mais les équipes pourraient avoir besoin de nouveaux processus pour gérer le flux croissant.
