Community Trust ScoreProbablement Réel
HackerOne a reçu 85 000 soumissions valides de primes de bugs l’année dernière. Cela représente une augmentation de 7 % par rapport à 2024, et la société est assez claire sur ce qui l’a provoquée : l’intelligence artificielle.
La plateforme de primes de bugs, l’une des plus grandes du secteur, a vu l’IA transformer la manière dont les chercheurs en sécurité recherchent les vulnérabilités. Plus d’outils signifiaient plus de rapports. Mais cela signifiait aussi plus de bruit. HackerOne n’a pas précisé les chiffres exacts de ce qu’il appelle le « bruit »—des rapports qui ne sont pas tout à fait pertinents—mais des sources proches de la plateforme indiquent que le volume de soumissions de faible qualité a augmenté parallèlement aux soumissions valides. L’IA peut produire des rapports rapidement. Trop rapidement, peut-être.
L’IA affine la détection mais trouble les eaux
L’intelligence artificielle a changé la donne pour les chasseurs de bugs en 2025. Les chercheurs se sont fortement appuyés sur des scanners et des outils d’analyse alimentés par l’IA pour repérer les défauts dans le code. La technologie peut passer au crible des bases de code en quelques minutes, signalant des problèmes potentiels qui pourraient prendre des heures ou des jours à des humains pour les trouver. Les entreprises utilisant la plateforme de HackerOne ont vu les avantages—plus d’yeux, ou du moins plus d’yeux algorithmiques, sur leur logiciel.
Mais il y a un revers à la médaille. Les mêmes outils qui augmentent l’efficacité inondent également le système. Chaque problème signalé par l’IA ne se révèle pas être un vrai problème. Certaines soumissions manquent de contexte. D’autres ne sont pas assez graves. Et une partie d’entre elles ? Ce sont des doublons ou des faux positifs déguisés en langage technique. La plateforme n’a pas indiqué combien du flux entrant tombe dans cette catégorie, mais les discussions dans l’industrie suggèrent que ce n’est pas négligeable.
Les programmes de primes de bugs dépendent de la qualité, pas seulement de la quantité. Mille rapports médiocres n’aident pas si les vraies vulnérabilités critiques sont enterrées dans la pile. Le défi de HackerOne est maintenant de séparer le bon grain de l’ivraie sans ralentir les temps de réponse pour les découvertes légitimes.
Le filtrage devient plus difficile à mesure que le volume augmente
L’augmentation de 7 % semble modeste. Ce n’est pas le cas. Lorsqu’on traite déjà des dizaines de milliers de soumissions chaque année, même une petite augmentation en pourcentage signifie des milliers de rapports supplémentaires à examiner, valider et acheminer vers les bonnes équipes. Le processus de triage de HackerOne—la première ligne de défense pour séparer les bugs sérieux du bruit—fait face à une pression croissante.
Les plateformes comme HackerOne utilisent généralement un mélange de vérifications automatisées et de réviseurs humains pour évaluer les rapports entrants. Le côté automatisé peut détecter les doublons évidents ou les soumissions qui ne répondent pas aux critères de base. Le côté humain gère les aspects nuancés : l’exploit est-il réellement exploitable ? Représente-t-il un risque réel ? Quel est l’impact si quelqu’un l’arme ?
Les rapports générés par l’IA compliquent ce flux de travail. Ils semblent souvent légitimes en surface. Le langage est technique. La mise en forme est propre. Mais le fond peut être mince. Les réviseurs passent du temps à creuser dans des rapports qui finalement ne tiennent pas la route, et ce temps coûte de l’argent et retarde les retours aux chercheurs qui ont réellement trouvé quelque chose.
Aucun mot clair pour l’instant sur la manière dont HackerOne prévoit de s’attaquer au problème du bruit. L’entreprise n’a pas annoncé de nouvelle technologie de filtrage ou de changements dans ses directives de soumission. Peut-être qu’ils y travaillent discrètement. Peut-être qu’ils essaient encore de comprendre.
Les hackers éthiques s’appuient sur les outils d’IA
La communauté des chercheurs a fortement adopté l’IA en 2025. Des outils comme GitHub Copilot, ChatGPT et des scanners de sécurité spécialisés sont devenus des équipements standards pour les chasseurs de bugs. Certains chercheurs ont construit des modèles d’IA personnalisés entraînés sur des bases de données de vulnérabilités pour repérer des motifs dans le code. D’autres ont utilisé l’IA pour automatiser la reconnaissance—la phase précoce des tests où l’on cartographie la surface d’attaque d’une cible.
C’est un travail plus rapide, essentiellement. Un chercheur peut scanner plusieurs cibles dans le temps qu’il fallait auparavant pour en sonder une manuellement. Cette efficacité explique en partie la hausse des soumissions. Plus de chercheurs peuvent participer à plus de programmes simultanément, augmentant ainsi la production globale.
Mais la vitesse n’équivaut pas toujours à la compétence. Les vétérans de la scène des primes de bugs craignent que l’IA abaisse trop la barrière à l’entrée. Quelqu’un avec des connaissances limitées en sécurité peut désormais générer des rapports qui semblent plausibles, même si l’analyse sous-jacente est faible. Cela inonde les plateformes de soumissions de chasseurs moins expérimentés, se mêlant au travail des professionnels chevronnés.
HackerOne n’a pas ventilé ses 85 000 rapports valides par niveau d’expérience des chercheurs. On ne sait pas combien proviennent de contributeurs réguliers par rapport aux nouveaux venus. La plateforme n’a pas non plus partagé de données sur les taux de rejet ou combien de soumissions ont été signalées comme doublons ou de faible qualité.
Ce que les entreprises paient
Les programmes de primes de bugs ne sont pas bon marché. Les entreprises paient les chercheurs en fonction de la gravité et de l’impact des vulnérabilités qu’ils découvrent. Les bugs critiques—ceux qui pourraient entraîner des violations de données ou des prises de contrôle de systèmes—peuvent rapporter des paiements à cinq chiffres ou plus. Les problèmes de moindre gravité peuvent rapporter quelques centaines de dollars.
L’augmentation des soumissions signifie que les entreprises paient potentiellement plus, mais seulement si ces soumissions sont valides et uniques. Si le taux de bruit augmente, les entreprises pourraient payer des frais de plateforme pour un volume plus élevé de rapports sans voir d’améliorations proportionnelles de la sécurité. C’est une vente difficile pour les directeurs financiers déjà sceptiques quant au retour sur investissement des primes de bugs.
Le modèle de revenu de HackerOne implique généralement des frais des entreprises clientes plus une part des paiements de primes. Plus de soumissions peuvent signifier plus de revenus, mais seulement si la plateforme maintient la confiance. Si les entreprises commencent à voir trop de bruit, elles pourraient réduire les budgets ou passer à des programmes sur invitation uniquement avec des chercheurs vérifiés.
En relation : Le piratage de Kelp DAO déclenche des accusations pour une perte de 290 millions de crypto
La question de la qualité persiste
Quatre-vingt-cinq mille rapports valides semblent impressionnants. Ça l’est, en quelque sorte. Mais le mot « valide » fait beaucoup de travail dans cette phrase. Valide ne signifie pas nécessairement à fort impact. Un rapport valide pourrait être un problème de configuration mineur ou une découverte informative à faible risque. Ceux-ci comptent, bien sûr, mais ce ne sont pas les vulnérabilités critiques qui empêchent les équipes de sécurité de dormir la nuit.
HackerOne n’a pas publié de répartition de ses soumissions de 2025 par gravité. Aucun mot sur combien étaient critiques, élevés, moyens ou faibles. Ces données peindraient un tableau plus clair de savoir si l’augmentation de 7 % a réellement fait bouger l’aiguille sur la sécurité ou simplement ajouté du volume.
Les plateformes doivent marcher sur une ligne fine. Rejeter trop de rapports et vous découragez les chercheurs. Accepter trop de soumissions de faible qualité et vous submergez les clients. Trouver le bon équilibre est plus difficile lorsque l’IA continue de déplacer la ligne de base.
Le monde des primes de bugs observe pour voir comment HackerOne s’adapte. D’autres plateformes font face aux mêmes pressions. L’IA ne disparaît pas, et le problème du bruit non plus. Les entreprises qui trouvent un filtrage plus intelligent et de meilleurs incitatifs pour les chercheurs gagneront probablement. Celles qui ne le font pas ? Elles se noieront dans des rapports qui ne comptent pas.
FAQ
Combien de soumissions valides de primes de bugs HackerOne a-t-il reçues en 2025 ?
HackerOne a reçu 85 000 soumissions valides de primes de bugs en 2025, représentant une augmentation de 7 % par rapport au total de l’année précédente.
Qu’est-ce que le « bruit » dans les programmes de primes de bugs ?
Le bruit fait référence à des rapports de bugs moins précis ou de moindre qualité qui manquent de pertinence ou de détails exploitables, souvent générés ou influencés par des outils d’IA qui produisent de grands volumes de soumissions sans qualité correspondante.
Comment l’IA a-t-elle impacté le reporting des primes de bugs ?
L’IA a augmenté l’efficacité de la détection des bugs et le volume des soumissions, mais elle a également contribué à une augmentation des rapports de moindre qualité qui compliquent le processus de révision et de filtrage pour des plateformes comme HackerOne.
