Depuis des années, les plus grandes entreprises technologiques du monde s’appuient sur une stratégie de sécurité simple et très efficace. Il paie des millions de dollars à des pirates informatiques indépendants et amicaux pour rechercher et signaler les failles de ses logiciels avant que les cybercriminels ne puissent les exploiter. À mesure que l’IA devient plus sophistiquée, l’ensemble de son écosystème est en grand danger. Selon le rapport, les outils d’IA générative alimentent sans relâche ces programmes de « bug bounty » avec des rapports automatisés, de mauvaise qualité et complètement faux, obligeant certaines organisations à fermer complètement leurs programmes de paiement.
Pourquoi les entreprises de cybersécurité sont mécontentes
Les entreprises de cybersécurité constatent une augmentation du trafic en raison d’une augmentation du nombre de soumissions. Selon le Financial Times, le problème n’est pas la quantité de rapports générés par l’IA, mais bien leur qualité. Bugcrowd, une plateforme leader dont les clients incluent OpenAI, T-Mobile et Motorola, a affirmé que le nombre de rapports de bugs avait plus que quadruplé en seulement trois semaines en mars, mais que la grande majorité d’entre eux étaient complètement faux. De même, la plateforme rivale HackerOne, qui dessert Google et le ministère américain de la Défense, a enregistré une augmentation de 76 % du nombre de candidatures au cours de l’année précédant le mois de mars.Le rapport cite des experts qui affirment que cette poussée est motivée par trois groupes différents. Premièrement, les amateurs utilisent des chatbots IA pour générer des rapports sur des défauts qui n’existent pas réellement. Le second est un groupe d’experts mal informés qui font confiance aux données erronées qui leur sont transmises par un assistant IA. Troisièmement, il existe des spammeurs automatisés qui ont créé des systèmes d’analyse automatisés de bout en bout qui créent et envoient un grand nombre de faux rapports de bogues.
Pourquoi c’est important pour les experts techniques
Un déluge de faux « rapports générés par l’IA » oblige les groupes techniques à passer des heures à démystifier le code informatique fantôme. Daniel Stenberg, le créateur de Curl, un outil de transfert de données critiques utilisé sur Internet, a annoncé la suspension du programme payant de bug bounty de son entreprise. Stenberg a écrit dans un article de blog que la gestion de la « crise sans fin » entraîne un « lourd tribut mental » et fait perdre un temps de développement précieux.Le fournisseur de logiciels Nextcloud a emboîté le pas, suspendant son propre programme de primes suite à une « augmentation massive des rapports de mauvaise qualité ».D’un autre côté, avec le mythe d’Anthropic, le timing est extrêmement important. Les primes aux bogues sont devenues une industrie massive, Google déboursant à lui seul 17 millions de dollars en primes. Le coût unique maximum pour les vulnérabilités du système d’exploitation Android est de 605 000 $. Cette incitation à l’automatisation des processus est montée en flèche avec le lancement d’Anthropic’s Mythos.Pour faire face à cette situation, le secteur de la cybersécurité se tourne vers des vérifications d’antécédents plus strictes et construit ses propres modèles d’IA défensifs pour agir comme gardiens numériques.
