Crypto-teams zien een toename in bug bounty-inzendingen, aangezien tools voor kunstmatige intelligentie het gemakkelijker maken om code te scannen en rapporten op te stellen.
Tegelijkertijd zeggen veel protocollen dat het toenemende volume meer bevindingen van lage kwaliteit of onnauwkeurige bevindingen omvat, wat het beoordelingswerk bemoeilijkt.
Bug bounty-programma's belonen beveiligingsonderzoekers voor het rapporteren van softwarefouten voordat aanvallers deze misbruiken. In crypto zijn deze programma's een gemeenschappelijk onderdeel geworden van beveiligingsinspanningen, omdat protocollen vaak grote hoeveelheden gebruikersfondsen beheren en via open-source code werken.
Barry Plunkett, co-CEO van Cosmos Labs, zei dat AI de manier waarop bug bounty-programma's werken verandert. Hij gaf aan dat het programma van het bedrijf het afgelopen jaar een sterke volumetoename kende.
“Ons programma heeft vorig jaar een toename van 900% in het aantal inzendingen gezien, in de orde van grootte van 20-50 per dag,” merkte Plunkett op.
Hij voegde eraan toe dat de toename zowel geldige als ongeldige rapporten omvatte, wat meer werk opleverde voor teams die probeerden echte problemen te scheiden van zwakke beweringen.
Kadan Stadelmann, chief technology officer bij Komodo Platform, zei ook dat hij een groei heeft gezien in bug bounty-inzendingen en uitbetalingen bij organisaties. Hij zei dat sommige recente rapporten van lage kwaliteit leken te zijn en in sommige gevallen valse positieven waren.
“Er is zeker een toename geweest in bug bounty-inzendingen van lage kwaliteit, waarvan sommige valse positieven waren, wat mogelijk duidt op AI-generatie,” vertelde Stadelmann aan Cointelegraph.
Hij voegde eraan toe dat AI de kosten en moeite die nodig zijn om een rapport op te stellen mogelijk heeft verlaagd, wat heeft geleid tot meer inzendingen.
AI-tools kunnen onderzoekers helpen grote hoeveelheden code te beoordelen en sneller mogelijke kwetsbaarheden aan te wijzen. Dat heeft het voor beveiligingsonderzoekers gemakkelijker gemaakt om deel te nemen aan bounty-programma's en bevindingen naar protocollen te sturen.
AI-systemen kunnen echter ook onnauwkeurige resultaten genereren. Bij bug bounty-werk kan dit betekenen dat teams rapporten ontvangen die technisch klinken maar geen echte gebreken beschrijven. Dit legt extra druk op ontwikkelaars en beveiligingspersoneel die elke claim moeten beoordelen.
De bredere trend is zichtbaar buiten crypto. In januari zei Daniel Stenberg, de maker van de open-source tool curl, dat hij zijn bug bounty-programma beëindigde nadat hij te maken kreeg met wat hij omschreef als een instroom van “AI-rommel in kwetsbaarheidsrapporten.”
HackerOne, een van de grootste bug bounty-platforms, meldde in januari dat het in 2025 85.000 geldige bounty-inzendingen registreerde. Dat cijfer was 7% hoger dan het voorgaande jaar.
Naarmate het aantal inzendingen stijgt, veranderen sommige crypto-teams de manier waarop ze bounty-programma's uitvoeren. Plunkett zei dat Cosmos Labs de beoordeling van binnenkomende rapporten heeft aangescherpt en nu meer gewicht toekent aan vertrouwde onderzoekers met een sterke staat van dienst.
Hij voegde eraan toe dat het bedrijf samenwerkt met bug bounty-aanbieders die geavanceerdere triage-ondersteuning bieden. Die stap is bedoeld om de tijd te verminderen die wordt besteed aan het beoordelen van zwakke of dubbele inzendingen.
Deze veranderingen laten zien dat teams proberen bounty-programma's nuttig te houden, terwijl ze de extra belasting beheren die wordt veroorzaakt door AI-ondersteunde rapportage. Programma's hebben nog steeds externe onderzoekers nodig, maar ze hebben ook sterkere filters nodig.
Stadelmann zei dat AI ook deel van de oplossing kan worden. Hij zei dat kleinere teams het meest kunnen worstelen omdat ze minder ingenieurs beschikbaar hebben om grote aantallen inzendingen te beoordelen.
“Blockchain-teams zullen AI-afschrikmiddelen moeten creëren om binnenkomende bug bounties te filteren,” zei hij.
Hij voegde eraan toe dat defensieve AI-systemen kunnen helpen rapporten te sorteren en de last voor interne teams te verminderen.
Stadelmann zei ook dat protocollen mogelijk strengere normen voor inzendingen nodig hebben om het aantal zwakke rapporten te verminderen. Naarmate AI-tools zich verspreiden, zullen bug bounty-programma's waarschijnlijk actief blijven, maar teams hebben mogelijk nieuwe processen nodig om de groeiende stroom te beheren.
