Платформа баг-баунти HackerOne отчиталась о 85 000 валидных отчётов об уязвимостях в 2025 году — это на 7% больше, чем годом ранее. Однако рост числа находок сопровождается резким увеличением доли некачественных заявок, которые эксперты называют «шлаком» (slop) — во многом из-за массового использования ИИ-инструментов.
Почему 85 000 отчётов — не только хорошая новость
HackerOne остаётся одним из главных маркеров состояния рынка баг-баунти: компании платят независимым исследователям за поиск дыр в коде. Рост числа валидных отчётов на 7% говорит о том, что интерес к поиску уязвимостей не ослабевает. Но параллельно платформа фиксирует лавинообразный поток заявок низкого качества.
Исследователи отмечают, что генеративные нейросети позволяют быстро создавать отчёты, которые выглядят правдоподобно, но на деле не содержат реальных уязвимостей. Это создаёт дополнительную нагрузку на модераторов и замедляет обработку действительно важных находок.
Как LLM превращают баг-баунти в генератор шума
Инструменты на базе больших языковых моделей (LLM — нейросети, обученные на огромных объёмах текста) научились имитировать структуру технического отчёта. Однако они не способны самостоятельно выявить новую уязвимость — только переформулировать уже известные паттерны или сгенерировать ложные срабатывания.
Ранее хакеры из КНДР уже использовали ИИ для атак на криптокошельки, как это было в случае с атакой на Zerion.
По данным HackerOne, доля «шлака» (slop — некачественный или бесполезный контент, созданный ИИ) в общем потоке заявок продолжает расти. Платформа вынуждена внедрять дополнительные фильтры и алгоритмы проверки, чтобы отделить реальные находки от мусора.
Напомним, что ранее эксперты предупреждали о скрытой угрозе безопасности кошельков со стороны ИИ-агентов для криптоплатежей.
Рост числа ИИ-сгенерированных отчётов создаёт риск «информационного шума», при котором действительно критичные уязвимости могут остаться незамеченными на фоне тысяч фальшивок.
Двойной эффект ИИ: автоматизация против имитации
Тренд на использование ИИ в кибербезопасности — палка о двух концах. С одной стороны, нейросети помогают автоматически сканировать код и находить типовые ошибки. С другой — те же технологии используются для генерации отчётов, которые не несут практической ценности.
Проблема «шлака» уже затронула не только HackerOne, но и другие крупные bug bounty-платформы. В ближайшие годы можно ожидать ужесточения требований к отчётам и внедрения систем верификации, способных отличать работу человека от генерации ИИ. Это может привести к тому, что начинающим исследователям станет сложнее получать вознаграждения без глубоких технических навыков.
Рост числа валидных баг-баунти на 7% — позитивный сигнал для всей экосистемы: компании продолжают инвестировать в безопасность. Но сможет ли индустрия адаптироваться к новому типу угроз, где ИИ одновременно и инструмент защиты, и генератор мусора?