AI Slop Membanjiri Program Bug Bounty saat Perusahaan Berjuang Melawan Laporan Palsu

Singkatnya

* Perusahaan yang menjalankan program bounty bug melaporkan peningkatan tajam dalam pengajuan yang berkualitas rendah yang dihasilkan AI.
* HackerOne dan Nextcloud keduanya menghentikan program bounty bug setelah gelombang laporan palsu.
* Perusahaan keamanan mengatakan alat AI mengubah perburuan bug dengan memudahkan pengajuan laporan dalam skala besar.

Kecerdasan buatan menciptakan masalah baru bagi perusahaan yang mengandalkan program bounty bug untuk mengungkap kerentanan perangkat lunak.
Perusahaan keamanan siber dan proyek perangkat lunak sumber terbuka sedang menghadapi lonjakan laporan bug yang dihasilkan AI, banyak di antaranya palsu atau menyesatkan. Itu menurut laporan dari Financial Times, yang mengatakan bahwa meningkatnya jumlah pengajuan berkualitas rendah memaksa beberapa organisasi untuk menghentikan sementara program bounty bug karena tim keamanan menghabiskan lebih banyak waktu memilah kerentanan nyata dari spam.
Bounty bug juga telah menjadi bisnis besar, dengan perusahaan termasuk Meta, Microsoft, Apple, dan Crypto.com secara kolektif membayar setidaknya $58 juta pada tahun 2025 kepada peneliti yang menemukan kerentanan perangkat lunak sebelum hacker melakukannya.

Namun, alat AI generatif juga memudahkan untuk mengeksploitasi program bounty bug dengan menghasilkan volume besar laporan kerentanan yang tidak akurat atau berkualitas rendah secara massal.

Menurut Bugcrowd yang berbasis di San Francisco, laporan yang diajukan melalui platformnya lebih dari empat kali lipat selama tiga minggu di bulan Maret. Perusahaan, yang kliennya termasuk pengembang ChatGPT, OpenAI, mengatakan sebagian besar laporan tersebut palsu.
Karena banjir laporan yang dihasilkan AI, beberapa perusahaan sudah mulai mengurangi program bounty publik mereka.

“Bounty bug akan tetap [but] mereka harus berubah,” kata Ross McKerchar, kepala keamanan informasi di perusahaan keamanan siber Sophos, kepada Financial Times.
Pada bulan April, platform keamanan siber HackerOne dan platform hosting Nextcloud keduanya menghentikan program bounty berbayar mereka, dengan Nextcloud menambahkan bahwa “tidak akan ada hadiah finansial yang diberikan untuk pengajuan apa pun, terlepas dari tingkat keparahannya.”
“Seperti yang mungkin Anda ketahui, ini adalah tantangan di seluruh industri dan seperti yang lain, kami belum dapat menemukan cara untuk menangani peningkatan besar laporan berkualitas rendah secara bertanggung jawab,” tulis Nextcloud. “Kami berharap dapat memulai kembali program ini setelah ditemukan pendekatan yang andal untuk menyaring laporan yang berusaha rendah.”
Berita bounty bug muncul saat model AI semakin mahir dalam menemukan kerentanan. Pada bulan Maret, Anthropic memperkenalkan Mythos, sebuah model AI yang berfokus pada keamanan siber yang dikatakan perusahaan dapat mengidentifikasi kerentanan lebih cepat daripada manusia. Perusahaan saat ini menyimpan model tersebut secara tertutup, hanya memberi akses kepada raksasa teknologi, perusahaan keamanan, dan pemerintah.
Pada bulan April, Claude Mythos mengidentifikasi 271 kerentanan di Mozilla Firefox selama pengujian internal, sementara awal bulan ini, peneliti keamanan mengatakan bahwa versi pratinjau dari model tersebut membantu mengembangkan eksploit yang menargetkan chip M5 Apple.
Pengguna di Myriad—platform pasar prediksi yang dioperasikan oleh perusahaan induk Decrypt, Dastan—tidak percaya bahwa Claude Mythos akan dirilis secara publik sebelum akhir Juni, saat ini memperkirakan peluang hanya 18%.