Les outils d’IA démocratisent et accélèrent la découverte des vulnérabilités, et taxent les programmes de gestion des vulnérabilités avec des faux positifs et des « slops d’IA ».
La recherche de bogues basée sur l’IA a changé le calcul de ce qui constitue un programme de primes efficace en accélérant la découverte des vulnérabilités et en soumettant les responsables du code à des volumes croissants de failles de recherche de failles de l’IA.
Les chercheurs en sécurité utilisent des modèles de langage étendus (LLM) pour automatiser la reconnaissance, procéder à l’ingénierie inverse des API et analyser les bases de code plus rapidement que jamais. En appliquant les outils d’IA à des techniques allant du fuzzing et de l’automatisation des exploits à la reconnaissance de formes dans les bases de code et les sites Web, les chercheurs découvrent des failles à un rythme accéléré.
« Au cours de l’année écoulée, nous sommes entrés dans ce que nous appelons l’ère du « hacker bionique », à savoir des chercheurs humains utilisant des systèmes d’IA agentique pour collecter des données, trier et faire progresser la découverte », déclare Crystal Hazen, responsable principale du programme de bug bounty chez HackerOne, qui a ajouté des outils d’IA à sa plateforme pour aider à rationaliser les soumissions et le tri.
Une étude menée par HackerOne a révélé une augmentation de 210 % des rapports valides sur les vulnérabilités liées à l’IA cette année par rapport à 2024. Elle a également constaté une augmentation de 339 % du total des primes versées pour les vulnérabilités de l’IA cette année, à mesure que les programmes de primes aux bogues évoluent pour remédier aux vulnérabilités des applications basées sur l’IA, avec des défauts d’injection rapide, des manipulations de modèles et une conception de plug-ins non sécurisée représentant la majorité des résultats.
L’IA taxe les défenseurs
Les experts du secteur estiment que l’IA ne devrait être utilisée que comme un « assistant de recherche » ou un guide plutôt que comme mécanisme principal de découverte des vulnérabilités.
Inti De Ceukelaire, responsable des hackers chez Intigriti, plateforme de bug bounty, affirme que l’IA a uniformisé les règles du jeu pour les hackers car elle peut aider les chercheurs moins qualifiés à identifier les systèmes potentiellement vulnérables ou à analyser le code à la recherche de failles. Mais les résultats des analyses basées sur l’IA ne sont pas toujours fiables, ce qui a créé des problèmes pratiques.
Les équipes de sécurité traitant des rapports de vulnérabilité externes devront être de plus en plus sceptiques à l’égard des rapports entrants qui montrent des signes de forte dépendance à l’IA.
« Les plateformes de bug bounty proposant des services de triage pourraient y contribuer, car elles sont capables de mesurer les antécédents des chercheurs au fil du temps et d’utiliser des technologies approfondies pour détecter et reconnaître les erreurs d’IA avant qu’elles n’atteignent l’entreprise », explique De Ceukelaire.
D’autres experts en sécurité conviennent que les résultats de l’application des outils d’IA à la recherche de bogues ont jusqu’à présent été mitigés, tout en affirmant que les problèmes peuvent être atténués par un tri minutieux.
« Les outils d’IA, lorsqu’ils sont correctement appliqués et validés, fournissent des résultats à fort impact, mais nous constatons également que les programmes sont submergés par un grand nombre de rapports, dont la plupart sont bâclés, pour le dire délicatement », déclare Bobby Kuzma, directeur des cyberopérations offensives chez ProCircular, société de conseil en cybersécurité et en conformité.
Le tri du volume croissant de rapports de qualité variable générés par certains outils d’IA met à rude épreuve les programmes sous-financés, y compris ceux associés aux projets logiciels open source critiques.
Par exemple, le projet curl – un outil de ligne de commande couramment utilisé pour télécharger des fichiers – a lancé des appels publics pour qu’il cesse de soumettre les bogues détectés par l’IA. Les responsables du projet se sont plaints du fait qu’ils passaient trop de temps sur des rapports de bugs de mauvaise qualité générés à l’aide d’outils d’IA.
Le responsable du projet, Daniel Stenberg, a comparé le déluge de rapports non fondés et faux à une attaque par déni de service. Plus récemment, Stenberg a atténué ses critiques suite à la soumission de véritables rapports de bogues générés en partie par des outils d’IA.
Une série de « faux positifs »
Gunter Ollmann, CTO chez Cobalt.io, prévient que l’IA exacerbe le problème existant qui vient du fait que les fournisseurs sont submergés de soumissions de bogues souvent de mauvaise qualité.
Les chercheurs en sécurité qui se tournent vers l’IA créent « une vague de bruit, de faux positifs et de doublons », selon Ollmann.
« L’avenir des tests de sécurité ne consiste pas à gérer une foule de chasseurs de bogues trouvant des bogues en double et de mauvaise qualité ; il s’agit d’accéder à la demande aux meilleurs experts pour trouver et corriger les vulnérabilités exploitables – dans le cadre d’un programme de sécurité continu, programmatique et offensif », déclare Ollmann.
Trevor Horwitz, RSSI de la plateforme de recherche en investissement basée au Royaume-Uni TrustNet, ajoute : « Les meilleurs résultats viennent toujours de personnes qui savent comment guider les outils. L’IA apporte rapidité et évolutivité, mais c’est le jugement humain qui transforme les résultats en impact. »
Par exemple, les chercheurs qui automatisent à grande échelle les vulnérabilités basées sur l’infrastructure – comme les informations d’identification par défaut ou les reprises de sous-domaines – disposent déjà d’outils et de détections fiables. « L’IA n’est pas nécessaire dans ces cas-là », explique Nagli.
« La véritable valeur de l’IA réside dans le renforcement des chercheurs experts, en particulier lors du test de portails authentifiés ou de l’analyse de bases de code tentaculaires et de fichiers JavaScript », explique Nagli. « Cela permet de découvrir des vulnérabilités qui étaient auparavant trop complexes ou subtiles pour être détectées sans l’IA. »
La dernière génération de modèles peut apporter une réelle aide aux chasseurs de bug bounty expérimentés, non pas en les remplaçant, mais en améliorant ce qu’ils sont capables de trouver.
« Les agents entièrement autonomes ont encore du mal, notamment avec l’authentification et les scénarios où le contexte humain est critique », ajoute Nagli.
Gestion des risques d’entreprise
Les programmes de bug bounty sont devenus des extensions des stratégies de gestion des risques d’entreprise en faisant constamment apparaître des menaces réelles avant que les attaquants ne les exploitent.
Les responsables de la sécurité s’orientent vers une gestion continue de l’exposition basée sur les données, combinant l’intelligence humaine et l’automatisation pour maintenir une visibilité en temps réel sur les actifs, les chaînes d’approvisionnement et les API.
HackerOne rapporte que 83 % des organisations interrogées utilisent désormais des bug bounties et que les paiements ont augmenté de 13 % d’une année sur l’autre, atteignant 81 millions de dollars tous programmes confondus.
À mesure que les types de vulnérabilités courants tels que les scripts intersites (XSS) et l’injection SQL deviennent plus faciles à atténuer, les organisations réorientent leur attention et leurs récompenses vers les découvertes qui exposent des risques systémiques plus profonds, notamment des failles d’identité, d’accès et de logique métier, selon HackerOne.
Le dernier rapport annuel de référence de HackerOne montre que les vulnérabilités en matière de contrôle d’accès inapproprié et de référence directe d’objet (IDOR) non sécurisées ont augmenté entre 18 % et 29 % d’une année sur l’autre, mettant en évidence les domaines sur lesquels les attaquants et les défenseurs concentrent désormais leurs efforts.
« Le défi pour les organisations en 2025 sera d’équilibrer vitesse, transparence et confiance : mesurer les tests offensifs participatifs tout en maintenant une divulgation responsable, des paiements équitables et une validation des rapports de vulnérabilité augmentée par l’IA », conclut Hazen de HackerOne.
