Il mondo dei bug bounty sta attraversando una trasformazione profonda. HackerOne, una delle piattaforme più importanti a livello mondiale per la segnalazione responsabile di vulnerabilità, ha ridimensionato in modo significativo i compensi del programma Internet Bug Bounty (IBB), segnando uno dei tagli più drastici degli ultimi anni.
Secondo quanto riportato da The Register, le ricompense per le vulnerabilità critiche sarebbero state ridotte di oltre il 75%: un bug classificato come “critical”, che in precedenza poteva valere circa 9.250 dollari, oggi viene remunerato intorno ai 2.257 dollari. Anche le altre categorie calano nettamente: le vulnerabilità “high” scendono da circa 4.429 a 1.009 dollari, mentre quelle “medium” passano da 1.843 a 297 dollari.
Alla base della decisione ci sarebbe l’impatto crescente dell’intelligenza artificiale. I programmi di bug bounty stanno registrando un’ondata di report generati o assistiti da AI, che ha aumentato il rumore operativo e saturato i team di triage. In diversi casi, la percentuale di segnalazioni realmente valide sarebbe scesa sotto il 5% (secondo stime riportate anche dal Financial Times).
Il risultato è un sovraccarico strutturale: individuare vulnerabilità è sempre più rapido, ma validarle e correggerle resta un processo umano lento e complesso. Anche HackerOne aveva già sospeso temporaneamente le nuove submission del programma IBB, segnalando che il ritmo delle segnalazioni superava la capacità di remediation.
Il tema non è isolato. Figure come Linus Torvalds hanno descritto come ingestibili alcune mailing list di sicurezza per l’enorme volume di report AI-generated.
Sul piano economico, il taglio dei payout potrebbe ridurre l’attrattività dei programmi pubblici, soprattutto per i ricercatori indipendenti, storicamente incentivati da piattaforme come Bugcrowd e HackerOne. Il rischio è uno spostamento progressivo verso programmi privati o mercati alternativi più remunerativi.
In questo contesto, il settore sembra entrare in una fase di riequilibrio: meno incentivi per quantità di segnalazioni, più pressione sulla qualità e sulla capacità di gestione delle vulnerabilità reali.
https://www.securityinfo.it/2026/05/21/hackerone-taglia-drasticamente-le-ricompense-dei-bug-bounty/
