Екосистема кібербезпеки стикається з неочікуваною загрозою: масовим потоком низькоякісних звітів про уразливості, створених штучним інтелектом. Даніель Стенберг, розробник популярного інструменту Curl, оголосив про можливість повного закриття bug bounty програми через надмірну кількість ШІ-генерованого контенту.
Критичні показники: статистика проблеми
Аналіз даних проекту Curl демонструє тривожну тенденцію: приблизно 20% усіх звітів про уразливості у 2025 році становить ШІ-генерований контент. Команда отримує орієнтовно два звіти щотижня, проте лише 5% з них виявляються справжніми проблемами безпеки – драматичне зниження ефективності порівняно з попередніми роками.
Особливо проблематичним є той факт, що якість автоматично генерованого контенту часто настільки переконлива, що фахівці не можуть миттєво визначити його походження. Це створює додаткове навантаження на процес верифікації звітів.
Економічний вплив на проекти з відкритим кодом
Bug bounty програма Curl, запущена у 2019 році, виплатила понад 90 000 доларів за 81 підтверджену уразливість. Однак зростаючий обсяг хибних звітів створює значне навантаження на обмежені ресурси проекту.
Команда безпеки складається лише з семи учасників, кожен звіт перевіряють три-чотири рецензенти. Аналіз одного повідомлення займає від 30 хвилин до трьох годин, що при обмежених часових ресурсах волонтерів стає критичною проблемою.
Вплив на мотивацію дослідників
Стенберг підкреслює, що проблема виходить за межі простої втрати часу. Обробка беззмістовних звітів призводить до емоційного виснаження команди безпеки, особливо волонтерів, які можуть приділяти проекту лише кілька годин на тиждень.
Галузевий масштаб проблеми
Проблема ШІ-спаму в bug bounty програмах не обмежується лише Curl. Подібні скарги надходять від розробників інших великих проектів:
Сет Ларсон з команди Python у грудні 2024 року висловлював аналогічні занепокоєння, підкреслюючи високу вартість обробки ШІ-генерованих звітів, які спочатку здаються обґрунтованими.
Бенджамін Піуфл з Open Collective також підтвердив наявність проблеми в своїй організації, попередивши, що посилення вимог до звітів може негативно вплинути на молодих дослідників безпеки.
Потенційні рішення та їх обмеження
Стенберг розглядає кілька варіантів вирішення проблеми, включаючи введення плати за подання звітів або повну відмову від грошових винагород. Однак він визнає, що виключення фінансового стимулу не зупинить потік неякісних звітів повністю, оскільки багато авторів щиро вірять у корисність своїх дій.
Поточна політика bug bounty програми Curl через HackerOne вимагає повідомлення про використання генеративного ШІ, але не забороняє його застосування. Очевидно, що такий підхід недостатньо ефективний для розв’язання проблеми.
Наслідки для майбутнього досліджень безпеки
Ситуація з ШІ-спамом може кардинально змінити ландшафт досліджень безпеки. Перехід до суворіших систем верифікації та обмеження доступу лише перевіреним дослідникам може створити бар’єри для входу в індустрію кібербезпеки.
Проблема ШІ-спаму в bug bounty програмах представляє серйозну загрозу для екосистеми кібербезпеки. Необхідні термінові заходи з боку платформ на кшталт HackerOne для фільтрації низькоякісного контенту та захисту часу і ресурсів фахівців з безпеки. Без вирішення цієї проблеми індустрія ризикує втратити важливі інструменти для виявлення уразливостей та покращення безпеки програмного забезпечення.
