Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Хватит слать нам отчёты! Денег всё равно не заплатим». HackerOne сообщила о приостановке программы Internet Bug Bounty

leer en español

HackerOne Internet Bug Bounty Node.js Google curl ИИ уязвимости
«Хватит слать нам отчёты! Денег всё равно не заплатим». HackerOne сообщила о приостановке программы Internet Bug Bounty
HackerOne Internet Bug Bounty Node.js Google curl ИИ уязвимости

Желающих помочь стало так много, что модераторы просто утонули в письмах.

image

Рынок Bug Bounty меняется на глазах, и один из самых заметных сигналов пришёл от Internet Bug Bounty. Программа, больше десяти лет поощрявшая поиск опасных ошибок в открытом ПО, остановила приём новых заявок. Причина связана не с нехваткой интереса, а с тем, что искусственный интеллект резко ускорил поиск слабых мест и нарушил прежний баланс между обнаружением проблем и их исправлением.

HackerOne, которая администрирует Internet Bug Bounty, сообщила, что с 27 марта новые отчёты в рамках программы больше не принимают. Вознаграждения за найденные уязвимости в открытом исходном коде тоже временно прекращаются. В компании пояснили, что пересматривают саму модель программы и ищут новый подход к защите проектов в условиях, когда ИИ заметно увеличил скорость и масштаб поиска ошибок.

Internet Bug Bounty работает с 2012 года при поддержке крупных разработчиков ПО. За всё время программа выплатила авторам отчётов свыше 1,5 млн долларов. Прежняя схема предполагала, что 80% средств шло за обнаружение уязвимостей, а ещё 20% направляли на помощь с устранением найденных проблем. Теперь в HackerOne считают, что такой механизм уже не соответствует реальности, поскольку находить ошибки стало проще, а ресурсов на исправление по-прежнему не хватает.

Одним из первых проектов, которых коснутся перемены, станет Node.js. Команда платформы продолжит принимать сообщения об уязвимостях через HackerOne, но выплаты в рамках Internet Bug Bounty прекратятся. Для сообщества открытого ПО такой шаг выглядит показательным, поскольку речь идёт об одном из самых заметных инфраструктурных проектов с огромной экосистемой.

Решение HackerOne вписывается в более широкий тренд. В январе этого года о закрытии собственной программы вознаграждений сообщил проект curl. В марте Google приостановила приём отчётов об ошибках в open source, созданных с помощью ИИ, сославшись на низкое качество таких материалов. На фоне этих решений становится всё заметнее, что индустрия пытается понять, как использовать возможности ИИ без потока слабых или бесполезных находок.