Các giao thức Crypto đang đối mặt với một làn sóng báo cáo lỗi bảo mật (bug bounty) giả mạo, hệ quả trực tiếp từ việc gia tăng sử dụng Trí tuệ Nhân tạo (AI). Tình trạng này đang gây áp lực lớn lên các đội ngũ an ninh, khiến họ phải chật vật phân loại giữa các mối đe dọa thực sự và những thông tin vô giá trị. Chương trình “săn lỗi nhận thưởng” (bug bounty) vốn là một cơ chế quan trọng, thưởng cho những hacker “mũ trắng” vì đã tìm thấy và báo cáo các lỗ hổng tiềm ẩn, và nó đặc biệt phổ biến trong ngành công nghiệp Crypto. Giờ đây, AI đã giúp việc rà soát lượng lớn mã nguồn để tìm kiếm lỗi trở nên dễ dàng hơn, mặc dù AI cũng nổi tiếng với khả năng “ảo giác” (hallucinate) và đưa ra thông tin sai lệch.
Barry Plunkett, đồng Giám đốc điều hành của Cosmos Labs, chia sẻ: “AI đang thay đổi cách các chương trình bug bounty phải vận hành.” Ông cho biết, chương trình của Cosmos Labs đã chứng kiến sự gia tăng đáng kinh ngạc 900% về số lượng báo cáo so với năm trước, lên tới 20-50 báo cáo mỗi ngày. Sự bùng nổ này kéo theo cả báo cáo hợp lệ và không hợp lệ tăng vọt.
Kadan Stadelmann, nhà phát triển blockchain và Giám đốc Công nghệ tại Komodo Platform, xác nhận với tienso.org rằng ông cũng nhận thấy sự gia tăng đáng kể về số lượng báo cáo và các khoản chi trả bug bounty trên các tổ chức. Ông nói: “Chắc chắn đã có sự gia tăng các báo cáo bug bounty chất lượng thấp, một số trong đó là dương tính giả, có khả năng gợi ý việc sử dụng AI. Một lời giải thích tiềm năng là AI đã làm giảm chi phí tạo ra một báo cáo, dẫn đến một lượng lớn báo cáo tràn vào.”
Vào tháng 1, Daniel Stenberg, người tạo ra công cụ truyền dữ liệu mã nguồn mở curl (được sử dụng trong nhiều ứng dụng, bao gồm cả hạ tầng blockchain), đã thông báo chấm dứt chương trình bug bounty của mình. Lý do là sự tràn ngập của “rác AI trong các báo cáo lỗ hổng” khiến ông kiệt sức khi phải sàng lọc chúng.
HackerOne, một trong những nền tảng bug bounty lớn nhất thế giới, báo cáo vào tháng 1 rằng có 85.000 báo cáo hợp lệ trong năm 2025, tăng 7% so với năm trước.
**AI: Vừa Là Nguồn Gốc Vừa Là Giải Pháp?**
Trước làn sóng báo cáo bug bounty tăng đột biến, Plunkett cho biết Cosmos Labs đã bắt đầu điều chỉnh phương pháp tiếp cận của mình. Họ đang thắt chặt cách chấm điểm các báo cáo, ưu tiên các nhà nghiên cứu đáng tin cậy có thành tích đã được chứng minh và hợp tác với các nhà cung cấp bug bounty khác cung cấp dịch vụ phân loại nâng cao hơn.
Trong khi đó, Stadelmann nhận định rằng các chương trình bug bounty đã chứng minh vai trò không thể thiếu trong việc bảo vệ các hệ thống phi tập trung. Ông tin rằng việc áp dụng AI để sàng lọc những báo cáo nhiễu có thể là một giải pháp then chốt.
“Các đội ngũ blockchain sẽ phải tạo ra các công cụ ngăn chặn AI để sàng lọc các báo cáo bug bounty đến. Đội ngũ càng nhỏ, vấn đề về số lượng báo cáo tăng lên sẽ càng lớn. Các kỹ sư phần mềm sẽ không có đủ năng lực để kiểm tra mọi thứ,” ông nói. “Đây là lúc các hệ thống AI phòng thủ tự động sàng lọc các báo cáo bug bounty sẽ trở nên cực kỳ quan trọng. Các đội ngũ phụ thuộc vào bug bounty sẽ cần phát triển các tiêu chuẩn nghiêm ngặt hơn cho các chương trình của họ để giảm số lượng báo cáo đến.”
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
