Il meccanismo del bug bounty è semplice nella teoria: un ricercatore analizza software e reti, segnala una falla e riceve una ricompensa se la segnalazione è valida. Nel tempo questo modello ha aiutato a scoprire vulnerabilità critiche, attirando esperti che cercavano ricompense per il loro lavoro. Tuttavia, con la diffusione di strumenti automatizzati e di Intelligenza artificiale, lo scenario operativo è cambiato: l’aumento delle segnalazioni non sempre si traduce in maggiore copertura reale, ma spesso genera rumore che pesa sui team di manutenzione.
Il caso di cURL e del suo creatore Daniel Stenberg è emblematico: nelle prime settimane del 2026 il progetto ha ricevuto decine di segnalazioni, molte delle quali poi giudicate non valide, e in risposta il programma su HackerOne è stato chiuso a gennaio 2026, sostituendo il canale con la segnalazione via GitHub.
Le statistiche citate mostrano un cambiamento drastico: dove un tempo oltre il 15% delle submission veniva confermato come vulnerabilità, dal 2026 la percentuale è scesa sotto il 5%.
L’aumento dei report e la diminuzione della qualità
Il problema non è solo numerico: ogni segnalazione richiede tempo per essere verificata e il tempo di triage si è allungato. Stenberg ha osservato che nel 2026 il progetto ha ricevuto il doppio delle segnalazioni rispetto al 2026 e le proiezioni indicavano un possibile ulteriore aumento nel 2026. Questo incremento crea un carico operativo sproporzionato per team piccoli, soprattutto su progetti open source che vivono di volontariato. La diffusione del GenAI ha reso facile generare report dettagliati che però spesso contengono falsi positivi o analisi superficiali, aumentando la probabilità di perdere tempo su segnalazioni improduttive.
Indicatori di report generati automaticamente
Esistono segnali ricorrenti che suggeriscono l’uso di strumenti automatici: testi con tutte le parole capitalizzate, strutture a punti identiche, e risposte di follow-up troppo prolisse che sembrano copia-incolla di output AI. Spesso chi segnala non riesce a rispondere a domande tecniche più profonde, replicando la risposta ottenuta dallo strumento. Questi pattern rendono più difficile stabilire la veridicità del problema rapidamente, perché una submission ben formattata può sembrare plausibile fino a quando non emergono incongruenze tecniche.
Impatto sui progetti open source e sulle piattaforme di mediazione
I manutentori di progetti come cURL possono trovarsi travolti: il carico di lavoro cresce, la motivazione cala e il rischio è che vulnerabilità reali vengano trascurate. Allo stesso tempo esistono esempi positivi di cooperazione: Anthropic ha collaborato con Mozilla usando il modello Claude per individuare bug riproducibili e fornire test case minimi, accelerando la correzione.
Sul fronte opposto, grandi aziende hanno segnalato problemi a progetti come FFmpeg senza però offrire risorse per la soluzione, generando ulteriore pressione su manutentori volontari.
Ruolo delle piattaforme mediatrici
Piattaforme come HackerOne sostengono che con processi di managed triage e workflow che integrano AI e revisione umana sia possibile filtrare il rumore, permettendo ai team interni di concentrarsi sui casi seri. Esperti del settore, come Michael Daniel e Katie Moussouris, sottolineano però che gli strumenti di attacco basati su AI stanno crescendo più rapidamente di quelli difensivi, rendendo difficile per molte organizzazioni tenere il passo. La soluzione tecnica esiste, ma richiede investimenti e maturità di processo che molti progetti piccoli non possono permettersi.
Possibili risposte e bilanciamento degli incentivi
Per ridurre il flusso di segnalazioni a basso valore, si possono esplorare diverse leve: restringere lo scope delle ricompense, introdurre filtri e soglie di qualità, oppure rivedere la politica economica dei bounty per ridurne l’attrattiva per lavori automatizzati.
Michael Daniel propone una semplice logica economica: se l’offerta aumenta troppo rispetto alla domanda di valore, il prezzo dovrebbe adeguarsi. Questa strada però comporta il rischio di allontanare ricercatori seri, che fino a oggi hanno contribuito moltissimo alla sicurezza collettiva.
Modificare la struttura degli incentivi
Una via possibile è combinare pagamenti con meccanismi di validazione preliminare: richiedere proof-of-concept riproducibili, tempo minimo di lavoro dimostrabile o penalità per submission palesemente errate. In alternativa, modelli di collaborazione come quello di Anthropic e Mozilla mostrano che l’AI ben istruita e accompagnata da lavoro umano può aumentare l’efficacia. In definitiva, la sfida è trovare un equilibrio che mantenga il bug bounty come strumento utile senza trasformarlo in una fonte di rumore generato da attività automatizzate.
La situazione attuale impone una riflessione collettiva: i programmi di ricompensa hanno cambiato il modo di scoprire vulnerabilità, ma l’arrivo massiccio di strumenti automatici richiede regole nuove, migliori processi di triage e una ridefinizione degli incentivi. Per progetti piccoli e grandi la domanda resta la stessa: come conservare il valore della collaborazione esterna senza essere travolti da segnalazioni che alla fine non migliorano la sicurezza reale?
