He estado viendo el espacio de bug bounty implosionar durante los últimos seis meses. Google eliminó los reportes generados por AI en marzo. HackerOne pausó el Internet Bug Bounty el mismo mes. Node.js suspendió su programa de recompensas. Curl terminó el suyo completamente en enero.

¿El culpable? Los reportes "slop" generados por AI están inundando los equipos de seguridad con basura. Estamos hablando de miles de reportes de vulnerabilidades falsos que parecen legítimos a primera vista pero que no ofrecen ninguna información real. Está rompiendo la economía que hizo que los bug bounty programs fueran viables en primer lugar.

La Avalancha de AI Slop Golpea a los Equipos de Seguridad

Esto es lo que pasó. ChatGPT y modelos similares hicieron trivial que cualquiera genere reportes de vulnerabilidades. Dale a la AI algo de documentación, pídele que encuentre fallas de seguridad, y listo — tienes reportes que suenan lo suficientemente técnicos para engañar al filtrado inicial.

El volumen es una locura. Los equipos de seguridad que solían procesar docenas de reportes legítimos semanalmente ahora se están ahogando en cientos de envíos generados por AI diariamente. La mayoría son basura completa — funciones falsas, vectores de ataque inventados, o vulnerabilidades comunes refritas sin ninguna prueba de concepto real.

Mis contactos en varias empresas tecnológicas importantes me dicen que están pasando más tiempo rechazando reportes falsos que realmente arreglando vulnerabilidades reales. Eso está al revés.

Cuándo la AI Realmente Funciona (Y Cuándo No)

No me malentiendan — la AI puede encontrar vulnerabilidades reales. El sistema de AI de Aisle acaba de descubrir 12 fallas previamente desconocidas en OpenSSL, una de las librerías de seguridad más auditadas en internet. Ese es trabajo legítimo revolucionario que superó a investigadores tradicionales.

Pero aquí está la diferencia: eso fue un sistema de AI sofisticado operado por expertos que verificaron cada hallazgo. El slop que está inundando los bounty programs viene de script kiddies ejecutando prompts básicos a través de modelos de AI para consumidores.

Los reportes generados por AI que he revisado son ridículamente malos una vez que sabes qué buscar:

• Descripciones de vulnerabilidades genéricas copiadas y pegadas de OWASP
• Nombres de funciones falsas que no existen en el código base real
• Vectores de ataque que nunca funcionarían en la práctica
• Cero código de prueba de concepto real o pasos de reproducción

La Economía Está Rota

Los programas de bug bounty funcionaban porque crearon un mercado donde investigadores habilidosos podían ganar dinero decente encontrando vulnerabilidades reales. Las empresas obtenían investigación de seguridad de calidad, los investigadores recibían pago, todos ganaban.

El spam de AI rompió este modelo. Cuando los equipos de seguridad pasan 80% de su tiempo filtrando basura, no pueden evaluar o recompensar adecuadamente hallazgos legítimos. Los investigadores reales se frustran esperando semanas por respuestas a reportes de calidad mientras la basura generada por AI obstruye el pipeline.

Estoy viendo investigadores de seguridad legítimos renunciar a ciertas plataformas completamente. ¿Por qué enviar a programas que podrían tomar meses en responder cuando se están ahogando en AI slop?

Soluciones Emergentes (Pero No Son Perfectas)

Las empresas están contraatacando con varias estrategias. Google ahora prohíbe explícitamente reportes generados por AI y usa algoritmos de detección para marcar envíos sospechosos. HackerOne está implementando sistemas de reputación que priorizan investigadores con historial de hallazgos de calidad.

Algunas plataformas están requiriendo código de prueba de concepto o demostraciones en video antes de aceptar reportes. Otras se están moviendo a programas solo por invitación para investigadores verificados.

Pero estas correcciones crean nuevos problemas. La verificación más estricta ralentiza la investigación legítima. Los programas solo por invitación excluyen a recién llegados que podrían encontrar bugs reales. Es un acto de equilibrio sin respuesta perfecta.

Dónde Deja Esto a la Investigación de Seguridad Real

Creo que estamos viendo un cambio fundamental en cómo se hace la investigación de seguridad. El modelo de puerta abierta de los programas tradicionales de bug bounty se está muriendo, siendo reemplazado por acuerdos más exclusivos basados en relaciones.

Las empresas se están moviendo hacia relaciones directas con investigadores probados, programas privados y herramientas de escaneo automatizadas. La democratización que hizo atractivos los bug bounties se está revirtiendo porque la AI hizo que fuera demasiado fácil manipular el sistema.

Para los investigadores de seguridad legítimos, esto significa que construir reputación importa más que nunca. Calidad sobre cantidad. Análisis detallado sobre envíos masivos. Los investigadores que se adapten a esta nueva realidad prosperarán — aquellos que aún traten de jugar el viejo juego de volumen serán filtrados junto con el spam de AI.

¿La ironía? La AI eventualmente podría hacer el software más seguro al encontrar vulnerabilidades más rápido de lo que los humanos jamás podrían. Pero primero, está rompiendo los mismos programas diseñados para incentivar esa investigación de seguridad. A veces el progreso se ve muy parecido al caos.