Компании, которые платят хакерам за обнаружение уязвимостей в своем программном обеспечении, сталкиваются с наплывом некачественных отчетов, сгенерированных ИИ, что вынуждает некоторые из них полностью приостанавливать соответствующие программы.
Бизнесы, использующие схемы «вознаграждения за ошибки» (bug bounty), долгое время полагались на независимых исследователей безопасности для выявления уязвимостей. Однако рост числа инструментов на базе ИИ теперь перегружает их ложными заявками.
Bugcrowd, среди клиентов которой OpenAI, T-Mobile и Motorola, сообщила, что количество полученных ею отчетов более чем в четыре раза возросло за трехнедельный период в марте, при этом большинство из них оказались ложными.
Curl, широко используемый инструмент для передачи данных через Интернет, в январе приостановил свою платную программу вознаграждений за ошибки, сославшись на «взрыв отчетов с ИИ-мусором» и снижение качества представлений.
Эксперты по кибербезопасности утверждают, что достижения в области генеративного ИИ меняют экономику программ bug bounty. В то время как эти инструменты позволяют опытным исследователям находить уязвимости быстрее, они также снижают порог входа, вызывая наводнение автоматизированными или ошибочными заявками, которые компаниям приходится просеивать.
Резкий рост числа некачественных отчетов от ИИ «быстро становится серьезной проблемой», — заявил Росс МакКерчар, директор по информационной безопасности в группе кибербезопасности Sophos. «Программы bug bounty останутся [в силе], но им придется измениться», — добавил он.
Популярность программ bug bounty растет с начала 2000-х годов, предлагая выплаты в шестизначных суммах за самые крупные находки. Программа Google в прошлом году выплатила в общей сложности 17 миллионов долларов, по сравнению с 7,5 миллионами долларов в 2021 году. Свою самую крупную индивидуальную награду в размере 605 000 долларов она выплатила в 2022 году пользователю, обнаружившему уязвимость в своей мобильной операционной системе Android.
МакКерчар отметил, что рост числа некачественных заявок исходит как от любителей, впервые пытающихся найти ошибки, так и от действующих исследователей, которых «иногда вводили в заблуждение [ИИ] агенты».
,
Он добавил, что существует «третья когорта» «опытных разработчиков ИИ», которые создали автоматизированные «сквозные системы сканирования и подачи заявок», которые «устраивают полный хаос».
Создатель Curl, Даниэль Стенберг, написал в своем блоге, что «бесконечный мусор» нанес «серьезный моральный ущерб в плане управления и иногда требовал много времени на опровержение».
Программная группа Nextcloud приостановила свою программу bug bounty в апреле из-за «массового увеличения числа низкокачественных отчетов». Компания выразила надежду возобновить программу, как только найдет способ эффективно фильтровать заявки.
Всплеск отчетов, сгенерированных ИИ, происходит на фоне того, как Anthropic в прошлом месяце запустила Mythos — свою новую модель кибер-ИИ, которая, по утверждению компании, может находить программные уязвимости быстрее людей.
Компании, управляющие программами bug bounty, начали внедрять более строгие проверки данных для борьбы с этой проблемой, а также создавать агентов ИИ для первичной обработки заявок.
HackerOne, чья платформа для отчетности об ошибках обслуживает Goldman Sachs, Google и Министерство обороны США, заявила, что в этом году внедрила «новые возможности агентной валидации» для «помощи организациям в управлении большими объемами находок», таких как те, что генерируются моделями вроде Mythos.
Компания сообщила, что количество заявок подскочило на 76 процентов за год до марта. Однако доля отчетов, указывающих на реальные уязвимости, оставалась стабильной на уровне 25 процентов за последний год.
Генеральный директор HackerOne Кара Спраг заявила, что в последние недели они наблюдали рост «более качественных» отчетов, в которых использовался ИИ. Она добавила, что рост числа заявок, сгенерированных ИИ, «не является веской причиной, чтобы полностью от них отказаться», учитывая, что хакеры используют эту технологию для обнаружения большего числа уязвимостей.
Генеральный директор Bugcrowd Дэйв Джерри заявил, что такие разработки, как Mythos от Anthropic, будут помогать охотникам за ошибками, а не заменять их. «ИИ поможет во многом, но мы никогда не заменим человеческое творчество», — сказал он.
© 2026 The Financial Times Ltd. Все права защищены. Запрещается перераспространение, копирование или любое изменение.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jamie John, Financial Times
