Zespoły kryptowalutowe odnotowują wzrost zgłoszeń w ramach programów bug bounty, ponieważ narzędzia sztucznej inteligencji ułatwiają skanowanie kodu i sporządzanie raportów.
Jednocześnie wiele protokołów twierdzi, że rosnąca liczba zgłoszeń zawiera więcej niskiej jakości lub niedokładnych ustaleń, co utrudnia pracę związaną z przeglądem.
Programy bug bounty nagradzają badaczy bezpieczeństwa za zgłaszanie wad oprogramowania, zanim atakujący je wykorzystają. W świecie kryptowalut programy te stały się powszechną częścią działań w zakresie bezpieczeństwa, ponieważ protokoły często zarządzają dużymi kwotami funduszy użytkowników i działają na zasadzie otwartego kodu źródłowego.
Barry Plunkett, współdyrektor generalny Cosmos Labs, powiedział, że AI zmienia sposób działania programów bug bounty. Stwierdził, że program firmy odnotował gwałtowny wzrost liczby zgłoszeń w ciągu ostatniego roku.
„Nasz program odnotował 900% wzrost liczby zgłoszeń w stosunku do ubiegłego roku, rzędu 20-50 dziennie” – zauważył Plunkett.
Dodał, że wzrost obejmował zarówno ważne, jak i nieważne raporty, co generuje więcej pracy dla zespołów próbujących oddzielić prawdziwe problemy od słabych roszczeń.
Kadan Stadelmann, dyrektor ds. technologii w Komodo Platform, również zauważył wzrost liczby zgłoszeń w ramach programów bug bounty i wypłat w różnych organizacjach. Stwierdził, że niektóre ostatnie raporty wydawały się być niskiej jakości, a w niektórych przypadkach mogły być fałszywymi alarmami.
”Zdecydowanie nastąpił wzrost liczby niskiej jakości zgłoszeń w ramach programów bug bounty, z których niektóre były fałszywymi alarmami, potencjalnie sugerującymi wykorzystanie AI” – powiedział Stadelmann Cointelegraph.
Dodał, że AI mogła obniżyć koszt i wysiłek wymagany do sporządzenia raportu, co doprowadziło do większej liczby zgłoszeń.
Narzędzia AI mogą pomóc badaczom w szybkim przeglądaniu dużych ilości kodu i wskazywaniu możliwych luk. Ułatwiło to badaczom bezpieczeństwa dołączanie do programów bounty i przesyłanie odkryć do protokołów.
Jednak systemy AI mogą również generować niedokładne wyniki. W pracy nad bug bounty może to oznaczać, że zespoły otrzymują raporty, które brzmią technicznie, ale nie opisują rzeczywistych wad. To zwiększa presję na deweloperów i personel ds. bezpieczeństwa, którzy muszą przeglądać każde zgłoszenie.
Szerszy trend jest widoczny poza kryptowalutami. W styczniu Daniel Stenberg, twórca narzędzia open-source curl, powiedział, że kończy swój program bug bounty po tym, jak musiał zmierzyć się z tym, co opisał jako napływ „papki AI w raportach o lukach bezpieczeństwa”.
HackerOne, jedna z największych platform bug bounty, poinformowała w styczniu, że w 2025 roku odnotowała 85 000 ważnych zgłoszeń w ramach programu bounty. Wynik ten był o 7% wyższy niż w roku poprzednim.
W miarę wzrostu liczby zgłoszeń, niektóre zespoły kryptowalutowe zmieniają sposób prowadzenia programów bounty. Plunkett powiedział, że Cosmos Labs zaostrzyło sposób oceniania przychodzących raportów i teraz większą wagę przywiązuje do zaufanych badaczy z udokumentowanym doświadczeniem.
Powiedział również, że firma współpracuje z dostawcami programów bug bounty, którzy oferują bardziej zaawansowane wsparcie w zakresie segregacji. Ten krok ma na celu skrócenie czasu poświęcanego na przeglądanie słabych lub zduplikowanych zgłoszeń.
Te zmiany pokazują, że zespoły starają się utrzymać użyteczność programów bounty, jednocześnie zarządzając dodatkowym obciążeniem wynikającym z raportowania wspomaganego przez AI. Programy nadal potrzebują zewnętrznych badaczy, ale potrzebują również silniejszych filtrów.
Stadelmann powiedział, że AI może również stać się częścią rozwiązania. Stwierdził, że mniejsze zespoły mogą mieć największe trudności, ponieważ mają mniej inżynierów dostępnych do przeglądania dużej liczby zgłoszeń.
„Zespoły blockchainowe będą musiały stworzyć narzędzia odstraszające AI, aby przesiewać przychodzące zgłoszenia bug bounty” – powiedział.
Dodał, że defensywne systemy AI mogłyby pomóc w sortowaniu raportów i zmniejszyć obciążenie zespołów wewnętrznych.
Stadelmann powiedział również, że protokoły mogą potrzebować surowszych standardów dla zgłoszeń, aby zmniejszyć liczbę słabych raportów. W miarę rozprzestrzeniania się narzędzi AI, programy bug bounty prawdopodobnie pozostaną aktywne, ale zespoły mogą potrzebować nowych procesów do zarządzania rosnącym przepływem.
