Автор Chao Cheng Zedong тема Новости

ИИ увеличил поток заявок в bug bounty — вместе с ним растет и число фейков

ИИ увеличил поток заявок в bug bounty — вместе с ним растет и число фейков

Криптопротоколы предупреждают: из-за активного использования ИИ резко выросло количество заявок в программах bug bounty, включая множество ложных сообщений о «уязвимостях». Это перегружает команды, которым приходится отделять реальные риски от шума.

Bug bounty — это система вознаграждений для исследователей безопасности за найденные потенциальные уязвимости и она широко распространена в криптоиндустрии. ИИ упростил анализ больших массивов кода в поисках ошибок, однако такие инструменты могут «галлюцинировать» и генерировать неверные выводы.

Со-гендиректор Cosmos Labs Барри Планкетт заявил, что ИИ меняет правила работы bug bounty-программ. По его словам, объем поступающих сообщений у них вырос примерно на 900% по сравнению с прошлым годом — до 20–50 заявок в день, что привело к росту как полезных, так и бесполезных отчетов.

Источник: Barry Plunkett

Технический директор Komodo Platform Кадан Штадельманн также отметил увеличение числа заявок и выплат в разных организациях. Он добавил, что стало больше низкокачественных сообщений и ложных срабатываний, что может указывать на использование ИИ. Возможная причина — снижение «стоимости» подготовки отчета, из-за чего поток отправок резко вырос.

В январе создатель инструмента curl Даниэль Стенберг сообщил, что закрывает свою bug bounty-программу из-за наплыва «ИИ-мусора» в отчетах об уязвимостях: на проверку уходило слишком много сил и времени.

Источник: Daniel Stenberg

Платформа HackerOne в январе сообщила, что в 2025 году было зафиксировано 85 000 валидных bug bounty-отчетов — на 7% больше, чем годом ранее.

ИИ может быть и причиной, и решением

Планкетт рассказал, что Cosmos Labs уже меняет процессы: ужесточает систему оценки заявок, делает приоритет на проверенных исследователей и привлекает провайдеров с более продвинутой первичной проверкой (triage).

Штадельманн, в свою очередь, подчеркнул важность bug bounty для защиты децентрализованных систем и считает, что ИИ можно использовать и в обороне — чтобы автоматически фильтровать поток входящих сообщений. По его словам, небольшим командам будет особенно сложно проверять все вручную, поэтому понадобятся «защитные» ИИ-инструменты и более строгие стандарты приема отчетов.

Источники: Barry Plunkett (X), Daniel Stenberg (daniel.haxx.se), HackerOne