Protokoły kryptowalutowe ostrzegły, że wzrost wykorzystania sztucznej inteligencji doprowadził do zalewu fałszywych zgłoszeń w ramach programów bug bounty, co obciąża zespoły próbujące zidentyfikować prawdziwe zagrożenia dla swoich protokołów.
Programy bug bounty to system nagradzania „dobrych” hakerów za zgłaszanie raportów o potencjalnych lukach bezpieczeństwa i są popularne w branży kryptowalut. Sztuczna inteligencja ułatwiła teraz przeszukiwanie dużych ilości kodu w celu znalezienia możliwych błędów, choć AI jest również znana z halucynacji.
„Sztuczna inteligencja zmienia sposób, w jaki programy bug bounty muszą działać” — powiedział we wtorek Barry Plunkett, współdyrektor generalny Cosmos Labs, w odpowiedzi na zarzut łowcy bug bounty, który oskarżył protokół o zignorowanie jego raportu o lukach bezpieczeństwa.
„Nasz program odnotował 900% wzrost liczby zgłoszeń w porównaniu z ubiegłym rokiem, rzędu 20-50 dziennie” — powiedział, dodając, że doprowadziło to do ogromnego wzrostu zarówno ważnych, jak i nieważnych raportów.
Kadan Stadelmann, deweloper blockchain i dyrektor ds. technologii w Komodo Platform, powiedział Cointelegraph, że również zauważył znaczący wzrost liczby zgłoszeń bug bounty i wypłat w różnych organizacjach.
„Zdecydowanie odnotowano wzrost liczby zgłoszeń bug bounty niskiej jakości, z których niektóre były fałszywymi alarmami, potencjalnie sugerującymi wykorzystanie AI jako źródła. Jednym z potencjalnych wyjaśnień jest to, że AI spowodowała spadek kosztów przygotowania raportu, co skutkuje napływem zgłoszeń.”
W styczniu Daniel Stenberg, twórca otwartego narzędzia do transferu danych curl, używanego w wielu aplikacjach, w tym w infrastrukturze blockchain, ogłosił, że kończy swój program bug bounty z powodu napływu „AI-generowanego niechlujstwa w raportach o lukach” i był wyczerpany ich przeszukiwaniem.
HackerOne, jedna z największych platform bug bounty na świecie, poinformowała w styczniu, że w 2025 roku odnotowano 85 000 ważnych zgłoszeń bug bounty, co oznacza wzrost o 7% w porównaniu z poprzednim rokiem.
Plunkett powiedział, że Cosmos Labs już zaczęło dostosowywać swoje podejście w wyniku wzrostu liczby zgłoszeń bug bounty, zaostrzając kryteria oceny zgłoszeń, priorytetyzując zaufanych badaczy z udokumentowanym doświadczeniem oraz współpracując z innymi dostawcami programów bug bounty, którzy oferują bardziej zaawansowany triage.
Tymczasem Stadelmann powiedział, że programy bug bounty okazały się integralną częścią obrony systemów zdecentralizowanych, a przyjęcie AI do pomocy w przeszukiwaniu szumu informacyjnego może być rozwiązaniem.
„Zespoły blockchain będą musiały stworzyć systemy AI do filtrowania przychodzących zgłoszeń bug bounty. Im mniejszy zespół, tym większym problemem będzie wzrastająca liczba zgłoszeń bug bounty. Inżynierowie oprogramowania nie będą mieli zdolności do zbadania wszystkiego” — powiedział.
„To właśnie tutaj obronne systemy AI do automatycznego przesiewania przychodzących zgłoszeń bug bounty będą kluczowe. Zespoły zależne od programów bug bounty będą musiały opracować surowsze standardy w swoich programach bug bounty jako sposób na zmniejszenie liczby przychodzących raportów.”
Powiązane: Hakerzy kryptowalutowi ukradli 17 miliardów dolarów w ciągu ostatnich 10 lat: DefiLlama
