Les Déchets Générés par l'IA Menacent les Programmes de Récompense de Bugs en Cybersécurité

24/07/2025 Sécurité

Les Grands Modèles de Langue (LLM) ont déchaîné une vague de contenu de faible qualité sur Internet, des images aux textes. Je parle de ces déchets d'IA – et ils s'infiltrent maintenant dans la cybersécurité, créant des maux de tête pour les programmes de récompense de bugs. Ces programmes, conçus pour récompenser les hackers éthiques pour la découverte de vulnérabilités, sont inondés de faux rapports générés par l'IA.

Le Problème : L'IA qui "Hallucine" des Vulnérabilités

Le problème central ? Les LLM sont conçus pour être utiles. Si vous demandez un rapport de vulnérabilité, ils vous le fourniront, même s'ils doivent inventer les détails techniques. Imaginez recevoir un rapport qui semble légitime, mais après avoir creusé, vous réalisez que la vulnérabilité est complètement inventée. C'est ce qui se passe, et cela fait perdre du temps à tout le monde.

Un chercheur en sécurité a même partagé comment le projet open source Curl a reçu un rapport complètement faux. Heureusement, ils ont immédiatement identifié le contenu généré par l'IA. C'est comme essayer de faire passer un faux billet – certains experts peuvent le repérer en un coup d'œil.

Les Plateformes de Récompense de Bugs Subissent la Pression

Les principales plateformes de récompense de bugs constatent cette tendance. Un co-fondateur a mentionné une augmentation des "faux positifs" – des vulnérabilités qui semblent réelles, mais qui sont en réalité générées par l'IA et n'ont pas d'impact réel. Ce bruit de faible qualité rend plus difficile l'identification des véritables menaces de sécurité.

Cependant, tout le monde ne panique pas. Certaines entreprises n'ont pas constaté d'augmentation significative des faux rapports. En fait, une entreprise qui développe le navigateur Firefox a déclaré que son taux de rejet des rapports de bugs n'a pas beaucoup changé. Ils n'utilisent pas non plus l'IA pour filtrer les rapports, car ils ne veulent pas risquer de passer à côté d'une véritable vulnérabilité.

L'Avenir : L'IA contre l'IA ?

Alors, quelle est la solution ? Certains experts pensent que la réponse est plus d'IA. L'idée est d'utiliser des systèmes alimentés par l'IA pour filtrer les soumissions et identifier les éventuels déchets générés par l'IA. Une plateforme a lancé un nouveau système qui combine des analystes humains avec des "agents de sécurité" d'IA pour éliminer le bruit et hiérarchiser les menaces réelles. C'est une course à l'armement.

En fin de compte, c'est un jeu du chat et de la souris : des pirates utilisant l'IA pour trouver (ou fabriquer) des bugs, et des entreprises utilisant l'IA pour se défendre. Reste à savoir quel camp sortira victorieux. Mais une chose est sûre : l'augmentation des déchets de l'IA est un défi sérieux pour l'industrie de la cybersécurité.