Turso, une base de données edge open source, a annoncé la fin de son programme de primes aux bugs, estimant que l’intelligence artificielle est devenue plus efficace pour détecter les vulnérabilités.
L’entreprise a mené une expérimentation interne en utilisant des modèles de langage comme GPT-4o pour auditer son code. Les résultats ont montré que l’IA a identifié un nombre supérieur de failles, y compris des vulnérabilités critiques, surpassant les découvertes cumulées de son programme de bug bounty. L’IA s’est avérée particulièrement performante sur des codes complexes comme le SQL et le Rust.
Cette approche a non seulement permis de détecter plus de problèmes, mais aussi de générer des rapports de haute qualité, souvent accompagnés de suggestions de correctifs. Turso souligne l’efficacité et la rentabilité de l’IA par rapport aux coûts et à la gestion d’un programme de primes.
Bien que cette décision marque un tournant pour Turso, l’entreprise reconnaît que l’IA ne remplace pas entièrement l’expertise humaine, notamment pour les vecteurs d’attaque inédits ou la vérification des résultats. Elle suggère une évolution du rôle des experts en sécurité, qui pourraient se concentrer sur des défis plus complexes.
Cette expérience soulève des questions sur l’avenir des programmes de bug bounty et l’intégration croissante de l’IA dans les stratégies de cybersécurité des entreprises.
Source : Hacker News (Algolia)