Hebben bug bounty en CVD nog een toekomst?

De wereld van kwetsbaarheidsmeldingen is aan het veranderen. Met de komst van AI worden sommige bedrijven overspoeld met meldingen.

Coördinated Vulnerability Disclosure (CVD) en bug bounties zijn belangrijk voor ons in security. We hebben laagdrempelige meldpunten nodig waar we gezamenlijk met externe experts kwetsbaarheden snel en effectief kunnen verhelpen. Bug bounties zijn daarnaast geen luxe of bonus. Als je jouw software als bedrijf waardeert op veiligheid en overtuigd bent van de kwaliteit, bied bug bounty je een mogelijkheid kwetsbaarheden op te sporen die anders (te) duur zouden zijn geweest om zelf naar te zoeken, maar de moeite waard zijn voor externe experts om naar te graven, voor het geld dat ze ermee kunnen verdienen.

AI overspoelt open source met meldingen

We horen recent over kwetsbaarheden in open source projecten zoals openBSD [1] en curl [2]. Eén van de beoogde voordelen van open source software is dat het open source aspect de kwaliteit en veiligheid verhoogt, omdat meer mensen de kans krijgen ernaar te kijken en verbeteringen voor te stellen. Maar er is veel open source [3]. En niet iedereen heeft de tijd/zin om naar andermans code te kijken. Dat maakt dat als er geen stimulans is om naar open source code te kijken voor experts, de kans dat deze onontdekte kwetsbaarheden bevat stijgt. Dit gegeven, gecombineerd met de mogelijkheid er met AI in te zoeken, maakt dat met name open source projecten nu te maken krijgen met grotere hoeveelheden meldingen van kwetsbaarheden. Meldingen waar bijvoorbeeld Curl overigens vals positieven, en lage tot midden kwetsbaarheden ziet [4]. Daarnaast blijken meldingen van Mythos, alom gezien als de meest krachtige AI om naar kwetsbaarheden te zoeken op dit moment, vaak lager uit te vallen dan Mythos zelf zegt. In 88% van de gevallen waarbij Mythos een gevonden kwetsbaarheid aanmerkte als 'kritiek', blijkt bij nader onderzoek dat kwetsbaarheden gevonden door Mythos feitelijk lager scoren in ernst (soms zelfs laag [5]). Met de ernst valt het dus nog mee. Men worstelt vooral met de hoeveelheden meldingen.

Bug bounty programma's onder druk

Ditzelfde beeld lijkt zich af te spelen bij bug bounties. Curl is gestopt met hun bug bounty programma door de grote hoeveelheid meldingen (van lage kwaliteit) [6] en Microsoft scherpte recent hun drempels aan voor meldingen waar zij geld voor uitkeren [7].

"Show us the impact, don't just describe it. What could an attacker actually achieve? We need a working proof of concept that demonstrates real exploitation and concrete security impact. Show us the boundary that can be crossed, not just that one theoretically exists. If your report says "this could lead to…" but doesn't show that it does, it's incomplete." [8]

Hebben CVD en bug bounties zo gezien nog wel een plaats in security?

De zaak Chaotic Eclipse

Recent postte een expert genaamd "Chaotic Eclipse" (ookwel "Nightmare Eclipse") meerdere kwetsbaarheden in producten van Microsoft inclusief werkende exploit online. De meest ernstige bleek een BitLocker bypass in Windows 11 [9]. Het was niet zomaar een zero day. Chaotic Eclipse claimde dat Microsoft deze backdoor opzettelijk in BitLocker zou hebben geplaatst.

Chaotic Eclipse claimde meermaals in contact met Microsoft te hebben willen treden over de kwetsbaarheden, maar er zou niet naar hen geluisterd zijn [10]. Daarom publiceerde Chaotic Eclipse de kwetsbaarheden. De reactie van Microsoft was opmerkelijk. Het GitHub account van Chaotic Eclipse werd verwijderd, net als hun account bij Microsoft om kwetsbaarheden te kunnen melden. Maar daar bleef het niet bij. In een uitgebreide verklaring besloot Microsoft van deze melder een voorbeeld te maken om melders in de toekomst te waarschuwen: "Onze afdeling Digitale Misdrijven zal doorgaan met het vervolgen van deze daders en degenen die hun criminele activiteiten mogelijk maken – en daarbij zo nodig samenwerken met wetshandhavingsinstanties wereldwijd." [11] Security experts wereldwijd reageerde verbolgen op de verklaring.

Kevin Beaumont, zelf voormalig medewerker van Microsoft, zei over de verklaring:

"Microsoft trying to cast a security researcher not complying with their "responsible disclosure" process as criminal activity is a dangerous (and stupid) rubicon." [12]

Daarnaast verdenkt hij Chaotic Eclipse ervan mogelijk een boze ex-medewerker van Microsoft te zijn [13].

Je kunt zeker een mening hebben over hoe Chaotic Eclipse dit heeft aangepakt, maar de manier waarop Microsoft reageerde, verdient in mijn ogen ook geen schoonheidsprijs voor zo'n groot bedrijf.

Wat dit betekent voor security

De wereld van kwetsbaarhedenmeldingen is aan het veranderen. Als CISOs en security experts zullen we nieuwe manieren moeten vinden om meldingen te kunnen oppakken, zonder daarbij melders af te schrikken of te bedreigen. Tegelijkertijd is het aan melders om met AI gevonden kwetsbaarheden goed te valideren. In hoeverre is deze kwetsbaarheid daadwerkelijk te misbruiken? En in welke context?

En laat je niet bang maken door de vulner-apocolypse. Dat lijkt vooralsnog namelijk mee te vallen [14].

Uiteindelijk moeten we allemaal streven naar een hoger doel; veiligere software.

​[1] https://venturebeat.com/security/mythos-detection-ceiling-security-teams-new-playbook

[2] https://daniel.haxx.se/blog/2026/05/26/the-pressure/

[3] https://thenewstack.io/open-source-projects-hit-1-billion-contributions-whats-next/

[4] https://daniel.haxx.se/blog/2026/05/26/the-pressure/

[5] https://www.linkedin.com/feed/update/urn:li:activity:7465505842839048193/

[6] https://thenewstack.io/drowning-in-ai-slop-reports-curl-ends-bug-bounties/

[7] https://github.blog/security/raising-the-bar-quality-shared-responsibility-and-the-future-of-githubs-bug-bounty-program/

​[8] https://github.blog/security/raising-the-bar-quality-shared-responsibility-and-the-future-of-githubs-bug-bounty-program/

[9] https://www.windowscentral.com/microsoft/security-researcher-github-microsoft-accounts-deleted-windows-11-exploit-bitlocker

[10] https://deadeclipse666.blogspot.com/2026/05/july-14th.html

[11] https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure

[12] https://www.linkedin.com/feed/update/urn:li:activity:7465814014397288448/

[13] https://doublepulsar.com/microsofts-stance-on-zero-day-exploits-is-a-dumpster-fire-of-their-own-making-0946117940a4

​[14] https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/

De angst voor de AI vulner-apocolypse

Ben jij al bang voor de vulner-apocolypse? Met Mythos in aantocht moeten we nu toch echt allemaal in actie komen tegen AI-aanvallen. Bestuurders willen van de

www.securityinnovationstories.com

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.