В современном мире кибербезопасности программы bug bounty стали неотъемлемой частью процессов выявления и устранения уязвимостей в программном обеспечении. Такие инициативы стимулируют исследователей находить проблемы в проектах и получают за это денежные вознаграждения. Однако с развитием технологий искусственного интеллекта возникла новая, непредвиденная сложность — резкое увеличение количества низкокачественных, ложных отчетов о багов, созданных с помощью ИИ. Эта тенденция заставляет даже ведущих разработчиков всерьез задуматься о целесообразности продолжения программ вознаграждения. Один из таких разработчиков — создатель Curl, широко известного и используемого инструмента командной строки для передачи данных, Даниэль Стенберг.
Его недавнее заявление о том, что из-за «ИИ-мусора» он рассматривает отмену bug bounty программы, привлекло внимание сообщества и открыло серьезную дискуссию о влиянии генеративного ИИ на сферу кибербезопасности. Даниэль Стенберг начал сталкиваться с проблемами, связанными с качеством отчетов уже с начала 2024 года, и по его словам, ситуация неуклонно ухудшается. Программисты и специалисты по безопасности получают лавину сообщений об ошибках, большая часть которых либо создается при помощи генеративных моделей ИИ, либо вовсе является результатом некачественного анализа. Этот контент Даниэль называет "AI slop" — ИИ-мусором, который не только отнимает время, но и затрудняет эффективную работу команды безопасности. Рост числа и качество поступающих отчетов трансформировались в настоящую головоломку.
Сейчас около 20% всех bug bounty заявок являются мусорными. А валидных, подтвержденных уязвимостей в 2025 году выявляется лишь порядка 5%. Для проекта с небольшой командой специалистов, которым приходится проверять каждый отчет от 30 минут до 3 часов, такой расклад становится катастрофическим. Особенно если учесть, что команда безопасности Curl состоит из семи человек, и значительная часть их времени уходит на фильтрацию ложных сообщений. Проблема усугубляется тем, что нельзя однозначно определить, кто именно стоит за созданием ложных отчетов — человек, который просто использует помощника ИИ, или сам ИИ.
Некоторые баг-репорты настолько технологичны по стилю и содержанию, что требуют тщательного глубокого анализа каждым экспертом. В свою очередь психологическое давление и эмоциональное выгорание членов команды усугубляют общее состояние дел. Curl выплатил более 90 000 долларов за обнаруженные уязвимости с 2019 года, и ранее программа bug bounty была эффективным инструментом поддержки безопасности проекта. Однако в условиях увеличения потока некачественного, сгенерированного ИИ контента Стенберг рассматривает самые кардинальные пути решения проблемы — вплоть до отказа от программы выплат и пересмотра всей политики bug bounty. В настоящее время bug bounty программа Curl работает через платформу HackerOne и требует, чтобы авторы отчетов уведомляли о применении генеративного ИИ.
Запрет на использование ИИ отсутствует, но его использование также не поощряется. Тем не менее реалии показывают, что таких отчетов становится значительно больше, и подобные меры пока не способны эффективно сдерживать поток низкокачественных заявок. Подобные проблемы наблюдаются и в других проектах и командах. Например, в конце 2024 года разработчик Python Сет Ларсон высказал опасения, что текущее взаимодействие с ИИ-генерированными отчетами замедляет процесс обнаружения настоящих уязвимостей и требует огромных затрат экспертного времени. Аналогичным образом вопросы поставлены и в Open Collective, где инженер-программист Бенджамин Пиуфл также отметил, что необходимо вводить более строгие ограничения на подачу заявок, чтобы не допустить засорение системы.
Все эти трудности обнажают несколько важных аспектов, которые стоит учитывать в будущем кибербезопасности. Во-первых, влияние генеративного искусственного интеллекта на качество и количество получаемой информации требует новых подходов к фильтрации, анализу и проверке. Просто проигнорировать ИИ как инструмент нельзя, однако непродуманный его использование без контроля ведет к существенным проблемам. Также наблюдается и социальный аспект: некоторые авторы низкокачественных баг-репортов искренне полагают, что они помогают развитию безопасности проекта, что создаёт дополнительное осложнение в борьбе с «ИИ-мусором». Это указывает на необходимость образовательных инициатив и разъяснений среди сообщества исследователей уязвимостей и хакеров, чтобы минимизировать недоразумения.
Даниэль Стенберг рассматривает различные варианты решения. Одна из идей — введение платы за отправку отчетов, что могло бы снизить количество бессмысленных заявок и стимулировать более взвешенный подход к их составлению. Также возможно полное исключение финансовых вознаграждений, что, по мнению разработчика, может не остановить поток мусорных отчетов, но снизит количество попыток получения сомнительных наград. Однако никакого универсального решения на сегодняшний день не существует. Сообщество безопасности стоит на пороге важных изменений, связанных с внедрением ИИ в рабочие процессы.
Важен диалог между разработчиками проектов, платформами bug bounty и исследователями уязвимостей о том, как адаптировать практики и технологии под новые реалии. Общая тенденция такова: с одной стороны, искусственный интеллект открывает невероятные возможности автоматизации и анализа данных, с другой — требует новаторских методов систематизации информации и борьбы с информационным шумом. Как именно будут развиваться авторы программ bug bounty в ближайшие годы и сохранится ли прежняя популярность таких систем, покажет только время. Случай с Curl можно рассматривать как показатель современного состояния дел в кибербезопасности, где технологии запускают новые вызовы, а люди вынуждены искать баланс между эффективностью и качеством. Решения, которые будут приняты в подобных проектах, могут повлиять на стандарты и подходы непосредственно всей индустрии обеспечения безопасности программного обеспечения.
Ключевым моментом остается настройка диалога и создание инструментов, способных эффективно выявлять качество отчетов, а также поддержка исследователей и команда безопасности — так, чтобы нововведения в сфере ИИ стали ресурсом, а не помехой. В этом контексте опыт Curl и открытое обсуждение проблем, связанных с ИИ-мусором, весьма ценны для всего профессионального сообщества.
