El ‘AI Slop’ inunda los programas de bug bounty con informes falsos de ciberseguridad

La plaga de informes falsos generados por IA que engaña a expertos en ciberseguridad

El llamado «AI slop» -contenido de baja calidad generado por modelos de lenguaje- está contaminando los programas de recompensas por errores (bug bounties), donde investigadores envían reportes de vulnerabilidades inexistentes fabricados por inteligencia artificial.

El engaño perfecto: reportes convincentes pero falsos

«La gente recibe informes que suenan razonables, parecen técnicamente correctos. Pero al investigar, descubren que la vulnerabilidad no existe», explica Vlad Ionescu, CTO de RunSybil. Los modelos de lenguaje alucinan vulnerabilidades y las presentan en reportes profesionales que saturan las plataformas.

Casos reales que alertan a la industria

• El proyecto de código abierto Curl recibió un informe falso detectado como «AI slop»
• Open Collective reporta su bandeja de entrada «inundada de basura de IA»
• Un desarrollador de CycloneDX eliminó su programa de recompensas tras recibir «casi exclusivamente reportes falsos»

Respuesta de las principales plataformas

HackerOne reporta un aumento en falsos positivos: «Estas entregas de baja señal crean ruido que socava la eficiencia», afirma Michiel Prins. Tratan estos reportes como spam.

Bugcrowd registra 500 envíos adicionales semanales, aunque su fundador Casey Ellis señala que aún no hay un pico significativo en reportes de baja calidad.

¿Qué dicen las grandes tecnológicas?

• Mozilla mantiene una tasa de rechazo estable de 5-6 reportes mensuales (<10% del total)
• Microsoft y Meta declinaron comentar
• Google no respondió solicitudes

La solución: IA contra IA

HackerOne lanzó Hai Triage, sistema que combina agentes de IA con analistas humanos para filtrar reportes falsos y priorizar amenazas reales. Esta batalla entre la IA que genera contenido falso y la IA que lo detecta definirá el futuro de los programas de recompensas.