The Wonders of AI: We Are Retiring Our Bug Bounty Program

Turso는 데이터 손상 버그에 대해 1,000달러 보상을 제공하는 버그 바운티 프로그램을 1년 만에 종료한다고 발표했다. 초기에는 시뮬레이터와 LLM, 형식적 방법론을 활용해 실제 버그를 발견하는 데 성공했으나, 최근 LLM을 이용한 무분별한 가짜 버그 제출이 급증해 유지보수 부담이 커졌다. 보상금이 오픈소스 기여 환경에 부정적 영향을 미쳐, 현재는 보상 프로그램을 중단하고 커뮤니티 개방성을 유지하는 방향을 선택했다. 이는 AI 자동화가 보안 보상 프로그램에 미치는 새로운 도전과제를 보여준다.

https://turso.tech/blog/the-wonders-of-ai

#bugbounty #opensource #llm #softwaretesting #aiautomation

Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.

And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂

#InfoSec #CyberSec #funny

Setting the record straight on Cloud Access and Community

Bambu Lab는 최근 소프트웨어 수정 관련 오해를 바로잡으며, 오픈소스 코드 수정은 허용하지만 클라우드 인프라에 대한 허위 신원 메타데이터 주입을 통한 공식 클라이언트 사칭은 금지한다고 밝혔다. 이러한 사칭 행위는 서버 과부하와 서비스 불안정을 초래해 생태계 안정성을 위협하기 때문에 대응이 필요하다고 설명했다. 또한, 버그 바운티 프로그램을 통해 취약점 신고를 장려하며, 클라우드 연결을 원하지 않는 사용자를 위해 LAN 모드와 개발자 모드를 제공한다고 덧붙였다.

https://blog.bambulab.com/setting-the-record-straight-on-cloud-access-and-community/

#opensource #cloudsecurity #bambulab #bugbounty #softwaremodification

Les jours du Bug Bounty sont-ils comptés, idem ce genre de magazine (que j'ai acheté il y a seulement 3 ans)?

L'IA sans gouvernance intelligente, c'est bof.

#bugbounty #MISC #cybersecurité

Google Navigates AI's Dual Role in Cybersecurity Frontier

Google's AI found a software flaw. Bug rewards for Chrome and Android are changing. See how this affects you.

#GoogleAI, #Cybersecurity, #SoftwareBug, #BugBounty, #TechNews

https://newsletter.tf/google-ai-finds-sqlite-flaw-bug-rewards-change/

Google's AI found a software flaw in SQLite. This is the first time AI found a memory-safety issue in real software. Bug rewards are changing.

#GoogleAI, #Cybersecurity, #SoftwareBug, #BugBounty, #TechNews
https://newsletter.tf/google-ai-finds-sqlite-flaw-bug-rewards-change/

Wiz releases a new cloud security CTF challenge every month (up to 12 challenges).

https://www.cloudsecuritychampionship.com

#infosec #cybersecurity #redteam #pentest #cloud #ctf #bugbounty

The React2Shell Story and What Happened Next.js

2025년 12월 Meta가 React Server Components의 Flight 프로토콜 취약점(CVE-2025-55182, react2shell)을 공개했다. 이 취약점은 타입 검증 실패로 임의 코드 실행(RCE)이 가능했으며, 연구자 Lachlan Davidson과 공동 발견자가 Next.js 환경에서 PoC를 개발하고 광범위한 인터넷 스캔을 통해 취약한 도메인을 탐지했다. 취약점 공개 전 신중한 협의와 비공개 조치를 거쳤으며, 대규모 버그 바운티 프로그램을 활용해 대응을 준비했다. 이 사례는 React 기반 서버 컴포넌트의 보안 취약점과 대응 절차를 상세히 보여준다.

https://sylvie.fyi/posts/react2shell/

#react #nextjs #rce #security #bugbounty

Rails, Security and AI Reports

Rails 프로젝트는 오픈소스 보안 취약점 신고에 대해 현금 보상을 제공하는 Internet Bug Bounty(IBB) 프로그램과 수년간 협력해왔다. 그러나 2025년경 AI가 생성한 저품질 보고서가 급증하면서 보안팀은 진짜 문제와 가짜 문제를 구분하는 데 큰 어려움을 겪었다. 이에 IBB는 신규 제출과 보상 지급을 중단했으며, 이는 합법적인 연구자들의 동기 부여에 부정적 영향을 미치고 있다. Rails 팀은 현재 IBB 보상 관련 문의 대응에 어려움을 겪고 있으며, 오픈소스 보안 분야의 복잡한 현실을 보여준다.

https://tenderlovemaking.com/2026/05/06/rails-security-ai-and-ibb/

#rails #security #bugbounty #ai #opensource