Default
Door Remote - 19 May 2026
In het kort
Bedrijven die bugbountyprogramma's uitvoeren, melden een sterke toename van door AI gegenereerde inzendingen van lage kwaliteit.
HackerOne en Nextcloud hebben beide bugbounty-programma's opgeschort na golven van neprapporten.
Beveiligingsbedrijven zeggen dat AI-tools het zoeken naar bugs veranderen door het gemakkelijker te maken om op grote schaal rapporten in te dienen.
Kunstmatige intelligentie zorgt voor een nieuwe kopzorg voor bedrijven die afhankelijk zijn van bugbounty-programma's om softwarekwetsbaarheden te ontdekken.
Cyberbeveiligingsbedrijven en open-sourcesoftwareprojecten hebben te maken met een golf van door AI gegenereerde bugrapporten, waarvan er vele vals of misleidend zijn. Dat blijkt uit een rapport van de Financial Times, waarin staat dat het groeiende aantal inzendingen van lage kwaliteit sommige organisaties dwingt om bugbounty-programma's te onderbreken, omdat beveiligingsteams meer tijd besteden aan het sorteren van echte kwetsbaarheden uit spam.
Bugpremies zijn ook big business geworden, waarbij bedrijven als Meta, Microsoft, Apple en Crypto.com in 2025 gezamenlijk minstens 58 miljoen dollar betalen aan onderzoekers die softwarefouten ontdekken voordat hackers dat doen.
Generatieve AI-tools maken het echter ook gemakkelijker om bugbounty-programma’s te exploiteren door op grote schaal grote hoeveelheden onnauwkeurige of lage kwaliteit kwetsbaarheidsrapporten te produceren.
Volgens het in San Francisco gevestigde Bugcrowd zijn de via het platform ingediende rapporten in maart in drie weken tijd meer dan verviervoudigd. Het bedrijf, tot wiens klanten ChatGPT-ontwikkelaar OpenAI behoort, zei dat de meeste rapporten nep waren.
Vanwege de stroom aan door AI gegenereerde rapporten zijn sommige bedrijven al begonnen hun publieke premieprogramma’s terug te draaien.
“Bugpremies zullen blijven [maar] ze zullen moeten veranderen”, vertelde Ross McKerchar, hoofd informatiebeveiliging bij cyberbeveiligingsbedrijf Sophos, aan de Financial Times.
In april hebben cyberbeveiligingsplatform HackerOne en hostingplatform Nextcloud beide hun betaalde premieprogramma opgeschort, waarbij Nextcloud eraan toevoegde dat “er geen financiële beloningen zullen worden toegekend voor inzendingen, ongeacht de ernst ervan.”
“Zoals u waarschijnlijk weet, is dit een sectorbrede uitdaging en net als andere zijn we er niet in geslaagd manieren te vinden om op verantwoorde wijze om te gaan met de enorme toename van rapporten van lage kwaliteit”, schreef Nextcloud. “We hopen het programma opnieuw te kunnen starten zodra er een betrouwbare aanpak is gevonden om de rapporten met weinig inspanning eruit te filteren.”
Het bugbounty-nieuws komt omdat AI-modellen steeds beter worden in het vinden van kwetsbaarheden. In maart introduceerde Anthropic Mythos, een cybergericht AI-model dat volgens het bedrijf kwetsbaarheden sneller kan identificeren dan mensen. Het bedrijf houdt het model momenteel geheim en staat alleen toegang toe aan technologiegiganten, beveiligingsbedrijven en overheden.
In april identificeerde Claude Mythos tijdens interne tests 271 kwetsbaarheden in Mozilla Firefox, terwijl beveiligingsonderzoekers eerder deze maand zeiden dat een preview-versie van het model heeft geholpen bij het ontwikkelen van een exploit gericht op de M5-chips van Apple.
Gebruikers van Myriad – een voorspellingsmarktplatform dat wordt beheerd door het moederbedrijf van Decrypt, Dastan – geloven niet dat Claude Mythos eind juni publiekelijk zal worden vrijgegeven, waarbij de kans momenteel slechts 18% bedraagt.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Bedrijven die bugbountyprogramma's uitvoeren, melden een sterke toename van door AI gegenereerde inzendingen van lage kwaliteit.
HackerOne en Nextcloud hebben beide bugbounty-programma's opgeschort na golven van neprapporten.
Beveiligingsbedrijven zeggen dat AI-tools het zoeken naar bugs veranderen door het gemakkelijker te maken om op grote schaal rapporten in te dienen.
Kunstmatige intelligentie zorgt voor een nieuwe kopzorg voor bedrijven die afhankelijk zijn van bugbounty-programma's om softwarekwetsbaarheden te ontdekken.
Cyberbeveiligingsbedrijven en open-sourcesoftwareprojecten hebben te maken met een golf van door AI gegenereerde bugrapporten, waarvan er vele vals of misleidend zijn. Dat blijkt uit een rapport van de Financial Times, waarin staat dat het groeiende aantal inzendingen van lage kwaliteit sommige organisaties dwingt om bugbounty-programma's te onderbreken, omdat beveiligingsteams meer tijd besteden aan het sorteren van echte kwetsbaarheden uit spam.
Bugpremies zijn ook big business geworden, waarbij bedrijven als Meta, Microsoft, Apple en Crypto.com in 2025 gezamenlijk minstens 58 miljoen dollar betalen aan onderzoekers die softwarefouten ontdekken voordat hackers dat doen.
Generatieve AI-tools maken het echter ook gemakkelijker om bugbounty-programma’s te exploiteren door op grote schaal grote hoeveelheden onnauwkeurige of lage kwaliteit kwetsbaarheidsrapporten te produceren.
Volgens het in San Francisco gevestigde Bugcrowd zijn de via het platform ingediende rapporten in maart in drie weken tijd meer dan verviervoudigd. Het bedrijf, tot wiens klanten ChatGPT-ontwikkelaar OpenAI behoort, zei dat de meeste rapporten nep waren.
Vanwege de stroom aan door AI gegenereerde rapporten zijn sommige bedrijven al begonnen hun publieke premieprogramma’s terug te draaien.
“Bugpremies zullen blijven [maar] ze zullen moeten veranderen”, vertelde Ross McKerchar, hoofd informatiebeveiliging bij cyberbeveiligingsbedrijf Sophos, aan de Financial Times.
In april hebben cyberbeveiligingsplatform HackerOne en hostingplatform Nextcloud beide hun betaalde premieprogramma opgeschort, waarbij Nextcloud eraan toevoegde dat “er geen financiële beloningen zullen worden toegekend voor inzendingen, ongeacht de ernst ervan.”
“Zoals u waarschijnlijk weet, is dit een sectorbrede uitdaging en net als andere zijn we er niet in geslaagd manieren te vinden om op verantwoorde wijze om te gaan met de enorme toename van rapporten van lage kwaliteit”, schreef Nextcloud. “We hopen het programma opnieuw te kunnen starten zodra er een betrouwbare aanpak is gevonden om de rapporten met weinig inspanning eruit te filteren.”
Het bugbounty-nieuws komt omdat AI-modellen steeds beter worden in het vinden van kwetsbaarheden. In maart introduceerde Anthropic Mythos, een cybergericht AI-model dat volgens het bedrijf kwetsbaarheden sneller kan identificeren dan mensen. Het bedrijf houdt het model momenteel geheim en staat alleen toegang toe aan technologiegiganten, beveiligingsbedrijven en overheden.
In april identificeerde Claude Mythos tijdens interne tests 271 kwetsbaarheden in Mozilla Firefox, terwijl beveiligingsonderzoekers eerder deze maand zeiden dat een preview-versie van het model heeft geholpen bij het ontwikkelen van een exploit gericht op de M5-chips van Apple.
Gebruikers van Myriad – een voorspellingsmarktplatform dat wordt beheerd door het moederbedrijf van Decrypt, Dastan – geloven niet dat Claude Mythos eind juni publiekelijk zal worden vrijgegeven, waarbij de kans momenteel slechts 18% bedraagt.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!