Tim-tim kripto mengalami peningkatan dalam kiriman bug bounty karena alat kecerdasan buatan (AI) mempermudah pemindaian kode dan penyusunan laporan.
Pada saat yang sama, banyak protokol mengatakan volume yang meningkat ini mencakup lebih banyak temuan berkualitas rendah atau tidak akurat, yang membuat pekerjaan peninjauan semakin sulit.
Program bug bounty memberikan penghargaan kepada peneliti keamanan karena melaporkan kelemahan perangkat lunak sebelum penyerang mengeksploitasinya. Dalam kripto, program-program ini telah menjadi bagian umum dari upaya keamanan karena protokol sering kali mengelola sejumlah besar dana pengguna dan beroperasi melalui kode sumber terbuka.
Barry Plunkett, co-CEO Cosmos Labs, mengatakan AI mengubah cara kerja program bug bounty. Dia mengatakan program perusahaannya mengalami peningkatan tajam dalam volume selama setahun terakhir.
"Program kami telah melihat peningkatan volume kiriman sebesar 900% dari tahun lalu, sekitar 20-50 per hari," kata Plunkett.
Dia menambahkan bahwa peningkatan ini mencakup laporan yang valid maupun tidak valid, menciptakan lebih banyak pekerjaan bagi tim yang mencoba memisahkan masalah nyata dari klaim yang lemah.
Kadan Stadelmann, kepala teknologi di Komodo Platform, juga mengatakan bahwa ia telah melihat pertumbuhan dalam kiriman dan pembayaran bug bounty di seluruh organisasi. Dia mengatakan beberapa laporan baru-baru ini tampak berkualitas rendah dan dalam beberapa kasus mungkin positif palsu.
"Tentu saja ada peningkatan dalam kiriman bug bounty berkualitas rendah, beberapa di antaranya adalah positif palsu, yang berpotensi menunjukkan sumber AI," kata Stadelmann kepada Cointelegraph.
Dia menambahkan bahwa AI mungkin telah menurunkan biaya dan upaya yang diperlukan untuk menghasilkan laporan, yang mengarah pada lebih banyak kiriman.
Alat AI dapat membantu peneliti meninjau sejumlah besar kode dan menunjukkan potensi kerentanan dengan lebih cepat. Hal ini mempermudah peneliti keamanan untuk bergabung dengan program bounty dan mengirimkan temuan ke protokol.
Namun, sistem AI juga dapat menghasilkan hasil yang tidak akurat. Dalam pekerjaan bug bounty, itu berarti tim menerima laporan yang terdengar teknis tetapi tidak menggambarkan kelemahan nyata. Ini menambah tekanan pada pengembang dan staf keamanan yang harus meninjau setiap klaim.
Tren yang lebih luas ini terlihat di luar kripto. Pada bulan Januari, Daniel Stenberg, pencipta alat sumber terbuka curl, mengatakan dia mengakhiri program bug bountynya setelah menghadapi apa yang dia gambarkan sebagai masuknya "sampah AI dalam laporan kerentanan."
HackerOne, salah satu platform bug bounty terbesar, melaporkan pada Januari bahwa mereka mencatat 85.000 kiriman bounty yang valid pada tahun 2025. Angka tersebut naik 7% dari tahun sebelumnya.
Seiring meningkatnya volume kiriman, beberapa tim kripto mengubah cara mereka menjalankan program bounty. Plunkett mengatakan Cosmos Labs telah memperketat cara mereka menilai laporan yang masuk dan sekarang memberikan bobot lebih pada peneliti tepercaya dengan rekam jejak yang kuat.
Dia juga mengatakan perusahaan bekerja sama dengan penyedia bug bounty yang menawarkan dukungan triase yang lebih canggih. Langkah itu dimaksudkan untuk membantu mengurangi waktu yang dihabiskan untuk meninjau kiriman yang lemah atau duplikat.
Perubahan ini menunjukkan bahwa tim mencoba menjaga program bounty tetap berguna sambil mengelola beban tambahan yang dibuat oleh pelaporan yang dibantu AI. Program masih membutuhkan peneliti eksternal, tetapi mereka juga membutuhkan filter yang lebih kuat.
Stadelmann mengatakan AI juga bisa menjadi bagian dari solusinya. Dia mengatakan tim yang lebih kecil mungkin paling kesulitan karena mereka memiliki lebih sedikit insinyur yang tersedia untuk meninjau sejumlah besar kiriman.
"Tim blockchain harus menciptakan pencegah AI untuk menyaring bug bounty yang masuk," katanya.
Dia menambahkan bahwa sistem AI defensif dapat membantu menyortir laporan dan mengurangi beban pada tim internal.
Stadelmann juga mengatakan protokol mungkin memerlukan standar yang lebih ketat untuk kiriman guna mengurangi jumlah laporan yang lemah. Seiring penyebaran alat AI, program bug bounty kemungkinan akan tetap aktif, tetapi tim mungkin memerlukan proses baru untuk mengelola aliran yang terus bertambah.
