«Dejen de enviarnos informes: no les pagaremos». HackerOne anuncia la suspensión del programa Internet Bug Bounty
Hubo tantas ganas de ayudar que los moderadores se vieron inundados de mensajes.
El mercado de Bug Bounty cambia ante nuestros ojos, y una de las señales más destacadas provino de Internet Bug Bounty. El programa, que durante más de diez años incentivó la búsqueda de errores peligrosos en software de código abierto, suspendió la recepción de nuevas solicitudes. La razón no es la falta de interés, sino que la inteligencia artificial aceleró drásticamente la búsqueda de puntos débiles y alteró el equilibrio previo entre el descubrimiento de problemas y su corrección.
)
HackerOne, que administra Internet Bug Bounty, informó que desde el 27 de marzo ya no aceptan nuevos informes en el marco del programa. Las recompensas por vulnerabilidades halladas en código abierto también se suspenden temporalmente. La empresa explicó que está revisando el propio modelo del programa y busca un nuevo enfoque para proteger proyectos en un contexto en que la IA ha aumentado de forma notable la velocidad y la escala de búsqueda de errores.
Internet Bug Bounty opera desde 2012 con el apoyo de importantes desarrolladores de software. A lo largo de su existencia, el programa ha pagado a los autores de informes más de 1,5 millones de dólares. El esquema anterior preveía que el 80 % de los fondos fuera para el descubrimiento de vulnerabilidades, y el 20 % restante se destinara a ayudar a corregir los problemas encontrados. Ahora en HackerOne consideran que ese mecanismo ya no se ajusta a la realidad, pues encontrar errores se ha vuelto más sencillo y los recursos para corregirlos siguen siendo insuficientes.
Uno de los primeros proyectos que se verán afectados por el cambio será Node.js. El equipo de la plataforma seguirá aceptando informes de vulnerabilidades a través de HackerOne, pero los pagos en el marco de Internet Bug Bounty se detendrán. Para la comunidad del software de código abierto, este paso resulta significativo, ya que se trata de uno de los proyectos de infraestructura más destacados con un ecosistema enorme.
La decisión de HackerOne encaja en una tendencia más amplia. En enero de este año, el proyecto curl anunció el cierre de su propio programa de recompensas. En marzo, Google suspendió la recepción de informes de errores en proyectos de código abierto creados con ayuda de la IA, alegando la baja calidad de ese tipo de materiales. Ante estas decisiones, resulta cada vez más evidente que la industria intenta entender cómo aprovechar las capacidades de la IA sin un flujo de hallazgos débiles o inútiles.