ИИ атакует багбаунти – эксперты жалуются на поток фейковых уязвимостей

Программы по поиску уязвимостей захлестнула новая проблема — искусственный интеллект начал генерировать липовые отчёты о дырах в безопасности. Платформы вроде HackerOne и Bugcrowd фиксируют рост псевдо-отчётов, написанных технически грамотно, но описывающих несуществующие баги. Авторы этих отчётов — вовсе не исследователи, а языковые модели, стремящиеся угодить пользователю, даже если приходится выдумывать угрозу.

Ситуация обострилась настолько, что разработчики некоторых проектов были вынуждены свернуть багбаунти-программы. Так, в CycloneDX признались, что устали от потока бессмысленных отчётов. Open Collective и Curl также пострадали от ИИ-спама — их завалили сообщениями, не имеющими ничего общего с реальными уязвимостями.

Проблема усугубляется тем, что многие отчёты выглядят профессионально, создавая ложное впечатление достоверности. Это отнимает время у специалистов, которым приходится вручную проверять каждый «факт». Пока одни платформы стараются реагировать вручную, другие ищут баланс между автоматизацией и точной модерацией. Например, HackerOne запустила гибридный инструмент Hai Triage, где ИИ помогает, но последнее слово остаётся за человеком.

Как считают эксперты, в ближайшие месяцы ситуация может ухудшиться: генеративные модели становятся всё доступнее и используются как энтузиастами, так и злоумышленниками. В кибербезопасности начинается гонка — побеждать будут те, кто сумеет выстроить надежный барьер между реальной угрозой и выдуманным кодом.