Cryptoprotocollen hebben gewaarschuwd dat een toename van het gebruik van AI heeft geleid tot een golf van valse bug bounty-inzendingen, wat een belasting vormt voor teams die echte bedreigingen voor hun protocollen proberen te identificeren.
Bug bounties zijn een systeem om 'goede' hackers te belonen voor het indienen van rapporten over potentiële kwetsbaarheden en zijn populair in de crypto-industrie. AI heeft het nu gemakkelijker gemaakt om grote hoeveelheden code te doorzoeken om mogelijke bugs te vinden, hoewel AI er ook om bekend staat te hallucineren.
“AI verandert de manier waarop bug bounty-programma's moeten werken,” zei Barry Plunkett, co-CEO van Cosmos Labs, dinsdag, reagerend op een bug bounty-jager die het protocol ervan beschuldigde hun kwetsbaarheidsrapport te negeren.
“Ons programma heeft vorig jaar een toename van 900% in het aantal inzendingen gezien, in de orde van 20-50 per dag,” zei hij, eraan toevoegend dat dit heeft geleid tot een enorme toename van zowel geldige als ongeldige rapporten.
Kadan Stadelmann, een blockchain-ontwikkelaar en chief technology officer bij Komodo Platform, vertelde Cointelegraph dat hij ook een opmerkelijke toename heeft gezien in bug bounty-inzendingen en uitbetalingen bij verschillende organisaties.
“Er is zeker een toename geweest in bug bounty-inzendingen van lage kwaliteit, waarvan sommige vals positieven waren, wat mogelijk duidt op AI-bronnen. Een mogelijke verklaring is dat AI een daling van de kosten voor het produceren van een rapport heeft veroorzaakt, wat resulteerde in een toestroom van inzendingen.”
In januari kondigde Daniel Stenberg, de maker van de open-source data-overdrachtstool curl, die in veel apps wordt gebruikt, inclusief blockchain-infrastructuur, aan dat hij zijn bug bounty-programma zou beëindigen vanwege een toestroom van “AI-troep in kwetsbaarheidsrapporten,” en hij was uitgeput van het doorzoeken ervan.
HackerOne, een van de grootste bug bounty-platforms ter wereld, meldde in januari dat er in 2025 85.000 geldige bounty-inzendingen waren, een stijging van 7% ten opzichte van het voorgaande jaar.
Plunkett zei dat Cosmos Labs zijn aanpak al heeft aangepast als gevolg van de toename van bug bounty-inzendingen door de manier waarop het inzendingen beoordeelt aan te scherpen, prioriteit te geven aan vertrouwde onderzoekers met een bewezen staat van dienst en samen te werken met andere bug bounty-providers die geavanceerdere triage aanbieden.
Ondertussen zei Stadelmann dat bug bounty-programma's essentieel zijn gebleken voor de verdediging van gedecentraliseerde systemen, en dat het adopteren van AI om te helpen bij het doorzeven van de ruis een oplossing zou kunnen zijn.
“Blockchain-teams zullen AI-afschrikkende middelen moeten creëren om inkomende bug bounties te doorzoeken. Hoe kleiner het team, hoe groter het probleem van toegenomen bug bounties zal worden. Software-engineers zullen niet de capaciteit hebben om alles te onderzoeken,” zei hij.
“Dit is waar defensieve AI-systemen om inkomende bug bounties automatisch te doorzoeken cruciaal zullen zijn. Teams die afhankelijk zijn van bug bounties zullen strengere normen moeten ontwikkelen voor hun bug bounty-programma's als middel om het aantal inkomende rapporten te verlagen.”
Gerelateerd: Crypto-hackers stalen $17 miljard in de afgelopen 10 jaar: DefiLlama
