Индустрия кибербезопасности сталкивается с новой серьезной проблемой: массовым потоком низкокачественных отчетов об уязвимостях, генерируемых искусственным интеллектом. Даниэль Стенберг, создатель популярного инструмента Curl, заявил о готовности полностью закрыть bug bounty программу проекта из-за чрезмерного количества ИИ-мусора.
Масштабы проблемы: статистика тревожит
Согласно данным Стенберга, около 20% всех отчетов об уязвимостях в 2025 году составляет ИИ-мусор. При этом команда Curl получает примерно два отчета о потенциальных уязвимостях еженедельно, но лишь 5% из них оказываются действительными проблемами безопасности. Это критическое снижение по сравнению с предыдущими годами.
Особенно тревожным является тот факт, что качество ИИ-генерированного контента настолько низкое, что специалисты не всегда могут сразу определить, был ли отчет создан человеком с использованием ИИ или полностью сгенерирован машиной.
Экономические последствия для проектов безопасности
Bug bounty программа Curl, функционирующая с 2019 года, выплатила более 90 000 долларов за 81 подтвержденную уязвимость. Однако растущий объем ложных отчетов создает серьезную нагрузку на ресурсы проекта.
Команда безопасности Curl состоит всего из семи человек, при этом каждый отчет проверяют три-четыре рецензента. Процесс анализа одного сообщения занимает от 30 минут до трех часов, что при ограниченных временных ресурсах добровольцев становится критической проблемой.
Эмоциональное выгорание специалистов
Стенберг отмечает, что проблема выходит за рамки простой потери времени. Обработка бессмысленных отчетов приводит к эмоциональному истощению команды безопасности, особенно добровольцев, которые могут уделять проекту лишь несколько часов в неделю.
Индустриальный характер проблемы
Проблема ИИ-мусора в bug bounty программах не ограничивается только Curl. Аналогичные жалобы поступают от разработчиков других крупных проектов:
Сет Ларсон из команды Python в декабре 2024 года высказывал схожие опасения, подчеркивая высокую стоимость обработки ИИ-генерированных отчетов, которые на первый взгляд кажутся обоснованными.
Бенджамин Пиуфл из Open Collective также подтвердил наличие проблемы в своей организации, предупредив, что ужесточение требований к отчетам может негативно повлиять на молодых исследователей безопасности.
Возможные решения и их ограничения
Стенберг рассматривает несколько вариантов решения проблемы, включая введение платы за подачу отчетов или полный отказ от денежных вознаграждений. Однако он признает, что исключение финансового стимула не остановит поток мусорных отчетов полностью, поскольку многие авторы искренне верят в полезность своих действий.
Текущая политика bug bounty программы Curl через HackerOne требует уведомления об использовании генеративного ИИ, но не запрещает его применение. Очевидно, что такой подход недостаточно эффективен для решения проблемы.
Влияние на будущее исследований безопасности
Ситуация с ИИ-мусором может кардинально изменить ландшафт исследований безопасности. Переход к более строгим системам верификации и ограничение доступа только проверенным исследователям может создать барьеры для входа в индустрию кибербезопасности.
Проблема ИИ-мусора в bug bounty программах представляет серьезную угрозу для экосистемы кибербезопасности. Необходимы срочные меры со стороны платформ вроде HackerOne для фильтрации низкокачественного контента и защиты времени и ресурсов специалистов по безопасности. Без решения этой проблемы индустрия рискует потерять важные инструменты для обнаружения уязвимостей и улучшения безопасности программного обеспечения.
