Les entreprises crypto submergées par des signalements de bogues générés par l’IA

L’essor de l’intelligence artificielle pose un problème inattendu dans le secteur des cryptomonnaies. Les programmes de bug bounty, qui récompensent les hackers éthiques pour la détection de failles de sécurité, sont submergés de signalements. Leur nombre a explosé, mais la qualité a chuté. L’IA facilite trop la génération de rapports, dont la majorité s’avère inutilisable.

900 % de signalements en plus en un an

Barry Plunkett, co-PDG de Cosmos Labs, constate cette hausse au quotidien. Son équipe reçoit désormais entre 20 et 50 rapports par jour, une augmentation d’environ 900 % par rapport à l’année précédente.

Le problème n’est pas quantitatif mais proportionnel. Les outils IA peuvent analyser du code à une vitesse fulgurante et produire des rapports convaincants. Cependant, ces rapports tirent souvent des conclusions qui semblent correctes mais qui sont factuellement erronées. Les développeurs doivent évaluer chaque signalement manuellement et passent de plus en plus de temps à filtrer le bruit.

L’IA abaisse la barrière, pas la qualité

Selon Kadan Stadelmann, CTO de Komodo Platform, le cœur du problème réside dans le fait que l’IA abaisse considérablement le seuil pour soumettre des rapports de bug. Toute personne ayant accès à un outil IA peut désormais générer un rapport d’apparence professionnelle, sans la connaissance technique auparavant nécessaire.

Résultat : une avalanche de faux positifs. Des problèmes signalés qui ne constituent en réalité aucune véritable vulnérabilité. Les équipes sont submergées par la nécessité de trier le bon grain de l’ivraie.

Les développeurs réagissent

La pression est telle que certains développeurs prennent des mesures drastiques. Daniel Stenberg, créateur de l’outil logiciel très utilisé curl, a suspendu complètement son programme de bug bounty plus tôt cette année. Le volume de signalements générés par l’IA était tout simplement devenu ingérable.

Les entreprises de cryptomonnaies adoptent une autre approche. Cosmos Labs a instauré des critères d’évaluation plus stricts et privilégie les chercheurs expérimentés. D’autres entreprises font appel à des sociétés spécialisées pour trier les rapports avant qu’ils n’atteignent l’équipe de développement.

Les vraies vulnérabilités augmentent aussi

Malgré le bruit, le nombre de signalements précieux augmente également. Le programme de bug bounty HackerOne a enregistré environ 85 000 soumissions valides en 2025, soit 7 % de plus que l’année précédente. Le défi est d’identifier ces rapports précieux parmi une montagne de déchets.

Pour le secteur des cryptomonnaies, où les piratages entraînent régulièrement des pertes de centaines de millions, c’est crucial. Une vulnérabilité manquée peut être catastrophique. Mais une équipe noyée sous les signalements erronés risque de manquer celle qui compte vraiment.

L’IA, à la fois problème et solution

Les experts prévoient que l’IA finira par apporter également la solution. Des systèmes de filtres intelligents pourraient reconnaître et éliminer automatiquement les signalements non fiables avant qu’ils n’atteignent un développeur. Cela est particulièrement indispensable pour les petites équipes qui n’ont pas la capacité de tout évaluer manuellement.

L’ironie est frappante. L’IA crée le problème et doit ensuite le résoudre elle-même. Pour le secteur des cryptomonnaies, c’est un avant-goût d’une tendance plus large : à mesure que l’IA devient plus puissante, le champ de bataille de la sécurité passe de l’humain contre le hacker à l’IA contre l’IA.