Segnalazioni di vulnerabilità informatiche in crescita esponenziale, tempi di correzione sempre più stretti e programmi di bug bounty in difficoltà. L’intelligenza artificiale sta cambiando la cybersecurity in modo profondo e non sempre utile. A rendere evidente la portata del fenomeno è la decisione di HackerOne di sospendere il suo programma Internet Bug Bounty, attivo dal 2013, dopo che il volume di segnalazioni generate con l’IA aveva reso impossibile gestirle in modo efficace. Il problema riguarda in particolare il software open source, dove la manutenzione è spesso affidata a programmatori volontari.
Al cuore della questione c’è uno squilibrio concreto. Individuare una falla richiede pochi minuti con gli strumenti basati su IA generativa, ma correggerla richiede settimane di verifiche e test. Non tutte le segnalazioni corrispondono poi a rischi reali: su 22 vulnerabilità individuate da un modello IA nel codice di Mozilla Firefox, solo due si sono rivelate effettivamente sfruttabili. Il progetto cURL ha smesso di accettare segnalazioni tramite HackerOne a febbraio 2026, ma il totale dell’anno aveva già raggiunto quota 87 ad aprile.
In questo quadro si inserisce anche il lancio di Claude Mythos Preview da parte di Anthropic, un modello classificato come troppo potente per la distribuzione pubblica. Lo stesso giorno dell’annuncio, un gruppo di utenti ha ottenuto accesso al sistema sfruttando le credenziali di un fornitore terzo. A conti fatti, l’idea che più rilevamento automatico significhi più sicurezza si sta rivelando sbagliata. Senza strumenti adeguati per gestire le segnalazioni, il rischio è generare caos.
Leggi l’articolo completo “La fine del bug bounty?” su Guerre di Rete.
Immagine generata tramite DALL-E 3. Tutti i diritti sono riservati. Università di Torino (03/02/2026).
