AI commence à « piquer le mouton » : Node.js forcé de suspendre la récompense en raison d’un faux rapport de vulnérabilité généré par l’IA

L’IA peut écrire du code, l’auditer, et maintenant elle peut aussi générer de faux rapports de vulnérabilité.
Le 13 avril, HackerOne a officiellement suspendu le « Programme de récompense pour vulnérabilités Internet » (IBB), qui fonctionnait depuis 14 ans, et ne plus accepter de nouvelles soumissions de vulnérabilités.
La raison apparente est un ajustement stratégique de la plateforme, mais la véritable raison est une seule : des rapports de vulnérabilités falsifiés générés par l’IA ont submergé les mainteneurs.
HackerOne a déclaré : « Les outils d’IA accélèrent la détection des vulnérabilités bien plus vite que leur correction, et la plateforme est envahie par un grand nombre de rapports de faible qualité, de faux positifs, voire de falsifications, ce qui brise complètement l’équilibre de la communauté open source. »
Et en première ligne, c’est Node.js.
L’équipe officielle de Node.js a ensuite annoncé : « En raison de la suspension du programme de récompense HackerOne, le projet cessera de verser des récompenses aux rapporteurs de vulnérabilités. »
En tant que projet open source entièrement piloté par la communauté de bénévoles, Node.js ne dispose pas de budget indépendant pour maintenir un fonds de récompenses, et dès que la source de financement externe s’est arrêtée, la récompense a été immédiatement annulée.
En réalité, avant même la suspension officielle de HackerOne, Node.js avait déjà dû faire une première adaptation.
La société de sécurité Socket a indiqué que Node.js avait déjà considérablement augmenté le seuil de soumission, mais cela ne pouvait pas arrêter l’impact massif des outils d’IA — chaque rapport reçu nécessitait beaucoup d’efforts pour vérification par les bénévoles, et neuf fois sur dix, ils étaient générés par l’IA.
De plus, Node.js n’est pas le premier à tomber.
En janvier de cette année, Daniel Stenberg, le fondateur de cURL, a annoncé l’arrêt du programme de récompense pour vulnérabilités, pour une raison identique :
« En une semaine, notre équipe a reçu 7 rapports de pseudo-vulnérabilités générés par l’IA, en 16 heures. Ces rapports semblent sérieux, avec un langage précis et une structure complète, mais après vérification manuelle, ils sont tous inutilisables. »
Il a appelé ce genre de contenu « AI Slop » — une surcharge de déchets apparemment raisonnables mais en réalité inutiles.
Ce qui est absurde dans cette situation, c’est que le mécanisme de récompense pour vulnérabilités a été conçu pour encourager la recherche de sécurité de haute qualité avec de l’argent réel, mais l’IA a réduit la barrière à zéro — en faisant tourner une copie du code avec l’IA, en générant automatiquement des dizaines de rapports qui semblent valides, puis en les soumettant à l’aveugle, et si l’un d’eux est correct, c’est la victoire.
Les mainteneurs sont submergés par ces rapports indésirables, et n’ont pas le temps d’examiner les véritables vulnérabilités. $ETH
{spot}(ETHUSDT)