HackerOne est la dernière organisation à avoir du mal avec les soumissions d’IA.
Les chercheurs qui identifient et signalent des bogues dans des logiciels open source ne seront plus récompensés par l’équipe Internet Bug Bounty. HackerOne, qui administre le programme, a déclaré qu’il « suspendait les soumissions » pendant qu’il réfléchissait aux moyens de gérer plus efficacement la sécurité open source.
Le programme Internet Bug Bounty, financé par un certain nombre de grands éditeurs de logiciels, est lancé depuis 2012 et a attribué plus de 1,5 million de dollars aux chercheurs qui ont signalé des bugs. Jusqu’à présent, 80 % de ses paiements ont été destinés à la découverte de nouvelles failles et 20 % au soutien des efforts de remédiation. Mais comme l’intelligence artificielle facilite la recherche de bugs, cet équilibre doit changer, a déclaré HackerOne dans un communiqué.
« La recherche assistée par l’IA étend la découverte des vulnérabilités à l’ensemble de l’écosystème, augmentant à la fois la couverture et la vitesse. L’équilibre entre les découvertes et la capacité de remédiation dans l’open source a considérablement changé », a déclaré HackerOne.
Parmi les premiers programmes concernés figure le projet Node.js, une plateforme JavaScript côté serveur pour applications Web connue pour son vaste écosystème. Même si l’équipe du projet continuera d’accepter et de trier les rapports de bogues via HackerOne, sans financement du programme Internet Bug Bounty, elle ne versera plus de récompenses, selon une annonce publiée sur son site Web.
L’Internet Bug Bounty Program n’est pas le seul projet de chasse aux bogues qui a connu des difficultés avec l’apparition de l’IA dans la recherche de vulnérabilités. En janvier, le programme Curl a déclaré qu’il n’acceptait plus de candidatures. Et le mois dernier, Google a également mis un terme aux soumissions générées par l’IA et fournies à son programme de récompense pour les vulnérabilités des logiciels Open Source.
