СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
18 мая
#Уязвимости #ИБ

ИИ постепенно убивает рынок выплат белым хакерам мусорными отчётами, компании начали закрывать программы

ИИ постепенно убивает рынок выплат белым хакерам мусорными отчётами, компании начали закрывать программы

изображение: recraft

Компании с выплатами белым хакерам за поиск уязвимостей столкнулись с неожиданной проблемой. Генеративный ИИ резко увеличил поток отчётов об ошибках, но значительная часть таких заявок оказалась ложной, сырой или бесполезной. По данным Financial Times, из-за этого некоторые организации начали приостанавливать bug bounty программы, поскольку команды не успевают вручную проверять лавину автоматических сообщений.

Идея багбаунти выглядит простой. Компания открывает правила тестирования, приглашает исследователей искать уязвимости, платит за подтверждённые находки и получает шанс закрыть опасные дыры. С появлением доступных ИИ-инструментов модель столкнулась с новым видом шума. Сейчас отправить отчёт может новичок с просьбой к модели «найти баг» и почти без проверки переслать результат.

Интересно, что Bugcrowd зафиксировала более чем 4-кратный рост числа сообщений об уязвимостях за 3 недели марта, и большинство из них оказались мусором.

FT пишет о сервисе Bugcrowd с клиентами OpenAI, T-Mobile и Motorola. Сервис зафиксировал более чем 4-кратный рост числа сообщений об уязвимостях за 3 недели марта. Большинство сообщений оказались ложными или бесполезными.

Разработчик Curl в январе заморозил свою программу выплат за найденные ошибки. Причиной стал резкий рост числа сообщений с использованием ИИ. Похожее решение приняла Nextcloud и приостановила программу поощрений из-за потока низкокачественных заявок.

Для Open Source-проектов нагрузка особенно болезненна. Команды часто ограничены по ресурсам и не могут тратить часы на проверку автоматического мусора.

ИИ не бесполезен для поиска уязвимостей. Опытным исследователям он помогает в нескольких задачах:

  • быстрый анализ незнакомого кода;
  • проверка гипотез об уязвимостях;
  • написание proof of concept;
  • поиск похожих паттернов в репозиториях;
  • подготовка понятных и структурированных отчётов.

Та же технология снижает порог входа для людей без понимания того, что баг подтверждён и разницы между теоретическим риском и реальной эксплуатацией.

Главный специалист по информационной безопасности Sophos Росс МакКерчар назвал происходящее серьёзной проблемой. По словам Росса МакКерчара, часть ложных заявок отправляют начинающие пользователи, а часть — опытные исследователи со слишком сильным доверием к ИИ-инструментам. Также появились разработчики автоматических систем для массового поиска и отправки отчётов.

Для компаний это превращается в дорогую операционную нагрузку. Каждая заявка требует целого набора действий:

  • чтение и понимание сути отчёта;
  • попытка воспроизведения проблемы;
  • оценка реального влияния на систему;
  • коммуникация с автором отчёта;
  • финальное решение о выплате.

Если из 100 сообщений реальными оказываются единицы, программа начинает работать против себя.

Особенно раздражают отчёты с уверенным описанием несуществующей уязвимости. Модель может придумать эксплуатацию, сослаться на неверную логику, перепутать поведение библиотеки или описать CVE без отношения к конкретной версии продукта.

Рост ИИ-заявок совпал с запуском Anthropic Mythos, модели для поиска программных ошибок. Отрасль получила два параллельных эффекта. Сильные исследователи действительно ускоряются. Массовые участники начинают генерировать отчёты без достаточной проверки.

Интересно, что Curl и Nextcloud просто заморозили свои bug bounty программы, и это первый случай массового отказа Open Source от выплат из-за ИИ-шума.

Платформы вроде HackerOne уже внедряют дополнительные проверки и собственные ИИ-инструменты для фильтрации входящих заявок. Полностью запрещать отчёты с ИИ они не хотят из-за возможной пользы технологии.

Это создаёт гонку автоматизаций. Одни участники используют ИИ для массовой отправки отчётов. Платформы применяют ИИ для сортировки этих отчётов и отсева мусора. Багбаунти превращается из соревнования исследователей в систему фильтрации машинно-сгенерированного шума.

Для зрелых программ поощрения это означает ужесточение правил. Компании будут требовать более подробные подтверждения находок:

  • воспроизводимые шаги эксплуатации;
  • подтверждённое влияние на систему;
  • рабочие примеры запросов и payload;
  • логику эксплуатации уязвимости;
  • доказательство существования проблемы в среде.

Простого текста от ИИ уже недостаточно. Может вырасти роль репутации исследователя. При регулярных качественных отчётах автору будут доверять больше. Аккаунт с десятками одинаковых расплывчатых сообщений могут фильтровать жёстче.

Open Source-проекты окажутся в самой уязвимой позиции. У популярного продукта может быть огромная аудитория и ограниченная команда сопровождения. Заморозка программы для Curl выглядит не отказом от безопасности, а попыткой остановить перегрузку.

Для коммерческих компаний проблема серьёзная. Большая bug bounty программа может быть частью зрелой защиты, но только при нормальной фильтрации. В худшем случае компания пропустит опасную находку из-за её потери среди сотен автоматических заявок.

Полный запрет ИИ-отчётов вряд ли станет рабочим решением. Исследователь может использовать модель для анализа и самостоятельно проверить результат. Проблема начинается там, где ИИ заменяет экспертизу.

Ранее сообщалось о заметном увеличении российскими компаниями выплат белым хакерам. За первые 4 месяца 2026 года выплаты на Standoff Bug Bounty выросли примерно на 70%, а на Bi.Zone Bug Bounty — на 87%.

На фоне мирового потока ИИ-мусора рост выглядит двусмысленно. Чем больше рынок выплат, тем выше соблазн у участников массово генерировать слабые отчёты в надежде на прохождение triage.

Ранее также сообщалось о готовности 58% директоров по ИБ рассмотреть выплату выкупа хакерам-вымогателям ради быстрого возврата систем. Багбаунти остаётся более здоровым механизмом. Лучше платить исследователям за найденные уязвимости заранее, чем платить вымогателям после шифрования инфраструктуры.

Эксперты редакции CISOCLUB отмечают, что ситуация с ИИ-отчётами в bug bounty показывает усиление автоматизации не только защиты, но и информационного мусора вокруг неё. По мнению редакции, генеративные модели помогают искать уязвимости, но одновременно создают поток ложных заявок с перегрузкой команд и снижением ценности программ поощрения. Для бизнеса следующий этап багбаунти лежит не в простом увеличении выплат, а в более строгом triage, требованиях к доказательствам и умной фильтрации машинно-сгенерированных отчётов. Без подобной зрелости даже растущие бюджеты не дадут реального снижения риска, а только утопят защитников в потоке автоматических фантазий.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: