L’IA devient chasseuse de bugs… avec plus ou moins de succès
Les plateformes de bug bounty vivent une période effervescente. HackerOne, l’un des plus grands écosystèmes de récompenses pour les failles de sécurité, a enregistré 85 000 soumissions valides en 2025, soit une hausse de 7% par rapport à l’année précédente. Une bonne nouvelle pour la sécurité informatique ? Pas tout à fait.
Derrière cette croissance se cache une réalité plus nuancée : l’intelligence artificielle a révolutionné la façon dont les chercheurs en sécurité traquent les failles. Les modèles d’IA peuvent désormais scanner le code à une vitesse vertigineuse, identifier des patterns suspects et générer automatiquement des rapports. Le problème ? Ils génèrent aussi énormément de faux positifs et de « rapports bâclés ».
Le bon grain et la paille
Cette augmentation du volume cache donc une problématique croissante : la qualité des soumissions s’érode. Les équipes de modération des plateformes doivent désormais trier entre les vrais bugs pertinents et ce que l’industrie appelle désormais le « slop » – ces rapports peu rigoureux, générés en masse par les outils d’IA sans vérification humaine appropriée.
C’est un peu comme si on avait donné à des millions de détectives une loupe automatique, mais que beaucoup d’entre eux pointaient du doigt chaque ombre sur le mur en criant « Bug trouvé ! ».
Un défi pour l’écosystème
Cette situation pose plusieurs défis concrets. D’abord, les développeurs sont submergés de notifications. Ensuite, les experts en sécurité qui consacrent du temps à analyser des rapports non-pertinents gaspillent des ressources. Enfin, cela dilue l’impact réel des véritables découvertes de sécurité.
Les plateformes comme HackerOne doivent maintenant affiner leurs systèmes de validation pour distinguer les contributions légitimes des générations d’IA sans supervision. C’est un exercice d’équilibre : encourager l’innovation et l’automatisation sans laisser le système s’encrasser de déchets numériques.
Perspective
Le crypto-écosystème reste particulièrement vulnérable aux failles de sécurité – les erreurs de code peuvent coûter des millions instantanément. L’augmentation des rapports de bugs est donc encourageante en théorie. Cependant, la communauté doit développer des standards plus rigoureux pour garantir que l’IA reste un outil d’aide, et non un générateur de bruit.