.svg?branch=dev&width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?branch=dev&width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
I programmi di bug bounty stanno cambiando più rapidamente oggi che in qualsiasi altro momento della loro storia trentennale. Da un lato, l'ascesa della ricerca assistita dall'intelligenza artificiale ha sommerso molti programmi con una grande quantità di segnalazioni di scarsa qualità ("slop"). Dall'altro, i modelli di frontiera stanno iniziando a produrre vulnerabilità validate, riproducibili e sfruttabili alla velocità delle macchine. Entrambe le tendenze stanno accelerando e nessuna delle due è destinata a invertire la rotta.
Questo cambiamento ridefinisce il ruolo di un programma di bug bounty. Non si tratta più soltanto di un canale per ricevere segnalazioni provenienti dall'esterno. È diventato un test continuo per verificare se i processi di triage, sviluppo e risposta alle vulnerabilità sono in grado di tenere il passo con un processo di scoperta delle vulnerabilità che è cambiato radicalmente sotto gli occhi di chiunque gestisca un programma di questo tipo.
In questo articolo analizzeremo come vediamo evolversi questo cambiamento, cosa richiede ai programmi di bug bounty e come il nostro si è adattato per affrontarlo. Esamineremo inoltre i risultati del 2025, un anno particolarmente significativo perché segna il trentesimo anniversario del primo programma di bug bounty riconoscibile, quando Netscape invitò i ricercatori a individuare vulnerabilità in una versione beta iniziale del proprio browser, e l'ottavo anniversario del lancio del nostro programma pubblico.
L'intelligenza artificiale sta cambiando la natura dei programmi di bug bounty
Il segnale che probabilmente si percepisce maggiormente oggi è rappresentato dallo "slop": un'ondata di segnalazioni a basso valore aggiunto, generate con il supporto dell'IA, che stanno congestionando le code di triage in tutto il settore. È un fenomeno reale e problematico. Tuttavia, rappresenta soltanto una parte di ciò che sta accadendo. Al di sotto di questo rumore di fondo, l'intelligenza artificiale sta iniziando a produrre vulnerabilità validate e sfruttabili alla velocità delle macchine, e questa capacità sta migliorando rapidamente.
Due aspetti possono essere contemporaneamente veri:
- Lo "slop" continuerà a crescere (più automazione, più segnalazioni, maggiore carico per il triage).
- Le capacità dei modelli continueranno a migliorare (saranno sempre più efficaci nel ragionare su intere codebase, formulare ipotesi di exploit e individuare catene di attacco non immediatamente evidenti).
Entrambe queste dinamiche stanno accelerando e nessuna delle due è destinata a rallentare.
Prima di approfondire come i programmi di bug bounty dovranno evolversi, vale la pena contestualizzare la discussione osservando cosa ha significato gestire il nostro programma negli ultimi otto anni. L'esperienza e le competenze che un programma accumula nel tempo rappresentano infatti una parte fondamentale della sua capacità di adattarsi e resistere a cambiamenti di questa portata.
Come si è evoluto il nostro programma
Non abbiamo ideato il nostro programma di bug bounty pensando all’era Mythos; nessuno l’ha fatto. Ma otto anni passati a gestirlo, perfezionarlo e trarne insegnamenti ci hanno permesso di arrivare meglio preparati ad affrontare ciò che ci aspetta rispetto a un programma ideato oggi e lanciato senza alcuna esperienza alle spalle.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/bug-bounties-in-the-mythos-era