Det hävdar nyhetsbyrån Bloomberg, med hänvisning till ”två personer med insyn i frågan”.
Men NSA och Vita huset tillbakavisar uppgifterna.
Buggen drabbar webbkrypteringssystemet Open SSL och kan ge hackare möjlighet att stjäla bland annat lösenord och krypteringsnycklar. Myndigheten för samhällsskydd och beredskap har gått ut med en unik varning för buggen, och uppmanat större webbplatser att uppdatera mjukvaran Openssl till en säkrare version.
– Själva säkerhetshålet är katastrofalt. På en säkerhetsskala mellan ett och tio är risken elva, sa Per Hellqvist, säkerhetsexpert på Symantec till SVT angående buggen.
Ska ha använt bugg regelbundet
NSA har regelbundet använd buggen för att samla in information.
”Genom att plocka in Heartbleed i sin arsenal kunde NSA få tillgång till lösenord och annan grundläggande data som är byggstenar i den sofistikerade hackarverksamhet som är kärnan i dess uppdrag”, skriver Bloomberg.
Men Vita huset förnekar uppgifterna och säger att NSA, om underrättelsetjänsten haft kännedom om buggen, underrättat dem som arbetar med webbkrypteringssystemet.
– Uppgifterna om att NSA eller någon annan del av regeringen haft kännedom om Heartbleed före april 2014 är felaktiga, säger Caitlin Hayden, talesperson för Vita husets nationella säkerhetsråd.
USA:s säkerhetsdepartement Homeland Security uppmanade på fredagen allmänheten att byta lösenord på alla sajter som hunnit åtgärda problemet