Les programmes de bug bounty vacillent sous le poids des rapports générés par l'IA. Après Curl et Google, c'est au tour de HackerOne de suspendre les paiements de son programme historique.
Le modèle économique de la chasse aux failles traverse une crise existentielle. HackerOne vient de suspendre les soumissions de son programme Internet Bug Bounty . Actif depuis 2012, ce programme a distribué plus de 1,5 million de dollars. La raison tient en deux mots : saturation artificielle.
Le déluge de rapports IA submerge les équipes de triage
Le constat est brutal. L'IBB consacrait jusqu'ici 80 % de ses fonds à la découverte de nouvelles failles et 20 % à la remédiation. Mais l'IA a fait exploser le volume de soumissions sans améliorer leur qualité. HackerOne le reconnaît sans détour : la recherche assistée par IA « étend la découverte de vulnérabilités à l'ensemble de l'écosystème ». Au point de déséquilibrer le rapport entre signalements et capacité de traitement.
Node.js fait partie des premiers projets touchés. La plateforme continuera d'accepter les rapports via HackerOne, mais sans verser de récompenses.
Le phénomène n'a rien d'isolé. En janvier, Daniel Stenberg, créateur de Curl, a fermé son programme. Motif : vingt rapports reçus en trois semaines, aucun décrivant une vraie vulnérabilité. En 2025, seuls 5 % des soumissions Curl s'avéraient exploitables. Chaque faux rapport coûtait entre 30 minutes et 3 heures de validation par des bénévoles. Le mois dernier, Google a durci les conditions de son programme Open Source Software VRP. Le géant exige désormais des preuves de reproduction via OSS-Fuzz ou un patch déjà fusionné pour filtrer le bruit.
L'IA remplace-t-elle les hunters ou juste les tâches de triage ?
La question mérite d'être posée sans naïveté. L'IA excelle à scanner du code source et à produire des rapports plausibles. Elle échoue à évaluer l'exploitabilité réelle d'une faille dans un contexte donné. Le résultat : une avalanche de signalements « techniquement corrects mais opérationnellement inutiles », selon les termes de la communauté sécurité.
En Europe, le tableau diffère sensiblement. YesWeHack, plateforme française devenue fournisseur privilégié de la Commission européenne pour les bug bounties open source, a publié en février son rapport 2026. Les collaborations entre hunters y ont bondi de 520 % depuis 2022. L'entreprise mise sur un modèle hybride : l'IA assiste le triage côté plateforme, tandis que les hunters conservent la main sur l'analyse. France Identité, l'Armée française et plusieurs institutions européennes font appel à YesWeHack via des programmes encadrés.
La Linux Foundation a de son côté obtenu 12,5 millions de dollars. Google, Anthropic, AWS, Microsoft et OpenAI financent des outils IA destinés aux mainteneurs, pas aux soumetteurs. L'objectif : automatiser le tri, pas la découverte.
Le vrai risque n'est pas que l'IA remplace les chasseurs de failles humains. C'est qu'elle rende leur métier économiquement insoutenable en noyant les programmes sous un bruit que personne n'a les moyens de filtrer.
