La IA comienza a “pescar ovejas”: Node.js se ve obligado a detener las recompensas por informes falsos debido a informes de vulnerabilidades falsos generados por IA

La IA puede escribir código, revisar código y ahora también puede generar informes de vulnerabilidades falsos.
El 13 de abril, HackerOne suspendió oficialmente su “Programa de Recompensas por Vulnerabilidades en Internet” (IBB), que operaba durante 14 años, y dejó de aceptar nuevas presentaciones de vulnerabilidades. La razón aparente fue un ajuste en la estrategia de la plataforma, pero la verdadera causa fue una sola: los informes falsos de vulnerabilidades generados por IA ahogaron a los mantenedores.
HackerOne expresó: Las herramientas de IA hacen que la detección de vulnerabilidades supere con mucho la velocidad de reparación, y la plataforma está saturada de informes de baja calidad, falsos o incluso falsificados, rompiendo por completo el equilibrio de la comunidad de código abierto.
Y la primera en caer fue Node.js.
Posteriormente, el equipo oficial de Node.js anunció: Debido a la suspensión del programa de recompensas de HackerOne, el proyecto dejará de otorgar recompensas a los reporteros de vulnerabilidades. Como un proyecto de código abierto impulsado únicamente por voluntarios de la comunidad, Node.js no tiene un presupuesto independiente para mantener un fondo de recompensas, por lo que cuando se cortan las fuentes externas de financiamiento, las recompensas desaparecen.
De hecho, antes de que HackerOne suspendiera oficialmente, Node.js ya había tenido que hacer ajustes. La empresa de seguridad Socket señaló que Node.js había aumentado significativamente los requisitos para presentar informes, pero eso no pudo detener la avalancha de herramientas de IA: por cada informe recibido, los voluntarios dedicaban mucho tiempo a verificar, y en nueve de cada diez casos, los informes eran generados por IA.
Y además, Node.js no fue el primero en caer.
En enero de este año, Daniel Stenberg, fundador de cURL, anunció que terminaría su programa de recompensas por vulnerabilidades, por la misma razón: en una semana, el equipo recibió siete informes de “falsas vulnerabilidades” generados por IA, que parecían seraban serios y bien estructurados, pero tras verificación manual, resultaron ser basura. Él llamó a este tipo de contenido “AI Slop” — basura redundante que parece razonable pero en realidad no sirve para nada.
Lo absurdo de esto es que: el mecanismo de recompensas por vulnerabilidades nació para incentivar investigaciones de seguridad de alta calidad con dinero real, pero la IA ha reducido la barrera para presentar informes a cero — simplemente ejecutando la IA sobre el código, generando automáticamente decenas de informes que parecen plausibles, enviándolos con los ojos cerrados, y si uno de ellos resulta ser correcto, ¡ganan! Los mantenedores se ahogan en basura, y los verdaderos fallos no tienen tiempo de ser revisados.