Bug bounty in crisi per colpa delle AI che trova bug a raffica… ma chi li sistema?

Il programma "Internet Bug Bounty" è stato bloccato da HackerOne a causa del forte impatto dell’intelligenza artificiale sull'accelerazione della scoperta di vulnerabilità non note. La ricerca di bug sta diventando estremamente (e tragicamente) troppo rapida, mentre le risorse per risolverli restano limitate. Il modello economico non sembra essere più sostenibile. Questa decisione sta riflettendo una crisi più ampia nella gestione dei bug open source, con segnali simili che provengono da differenti progetti opensource e non solo.

Il mercato dei bug bounty sta cambiando sotto i nostri occhi.

E uno dei segnali più evidenti arriva dall’Internet Bug Bounty. Il programma, che per oltre un decennio ha premiato la scoperta di bug pericolosi nei software open source, ha smesso di accettare delle nuove segnalazioni.

Ciò non è dovuto a una mancanza di interesse, attenzione, ma bensì al fatto che l’intelligenza artificiale ha accelerato drasticamente la ricerca di vulnerabilità e ha sconvolto il tradizionale equilibrio tra individuazione e risoluzione dei problemi.

HackerOne, la società che gestisce l’Internet Bug Bounty, ha annunciato che a partire dal 27 marzo non accetterà più nuove segnalazioni nell’ambito del programma.

Anche le ricompense per le vulnerabilità riscontrate nel codice open source sono state temporaneamente sospese. L’azienda ha spiegato di essere impegnata nella revisione del modello del programma e nella ricerca di un nuovo approccio per proteggere i progetti in un contesto in cui l’intelligenza artificiale ha notevolmente aumentato la velocità e la portata della ricerca di bug.

Il programma Internet Bug Bounty è attivo dal 2012 con il supporto di importanti sviluppatori di software. Da allora, il programma ha distribuito oltre 1,5 milioni di dollari ai segnalatori. Il precedente schema prevedeva che l’80% dei fondi fosse destinato alla scoperta delle vulnerabilità, mentre il restante 20% alla risoluzione dei problemi riscontrati. Ora HackerOne ritiene che questo meccanismo non sia più realistico, poiché trovare bug è diventato più facile, mentre le risorse per risolverli rimangono insufficienti.

Uno dei primi progetti a essere interessato da questi cambiamenti sarà Node.js. Il team della piattaforma continuerà ad accettare segnalazioni di vulnerabilità tramite HackerOne, ma i pagamenti del programma Internet Bug Bounty cesseranno. Per la comunità open source, questa decisione è significativa, poiché riguarda uno dei progetti infrastrutturali più importanti con un vasto ecosistema.

La decisione di HackerOne si inserisce in una tendenza molto più ampia. A gennaio di quest’anno, anche il progetto curl ha annunciato la chiusura del suo programma di ricompense. A marzo, Google ha sospeso l’accettazione di segnalazioni di bug open source generate dall’IA, citando la bassa qualità di tali segnalazioni.

In questo contesto, sta diventando sempre più evidente che il settore sta faticando a capire come sfruttare il potenziale dell’IA senza generare un’ondata di risultati deboli o inutili.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research