Проект Node.js поменял условия программы вознаграждений за найденные ошибки (багбаунти) после того, как разработчики столкнулись с увеличением отчётов, созданных с помощью ИИ-систем, которые трудно быстро оценить и проверить. Теперь для отправки отчётов об уязвимостях на площадке HackerOne в проект Node.js требуется показатель Signal 1.0 или выше.
Команда безопасности Node.js столкнулась со значительным ростом числа низкокачественных отчётов. Эта тенденция усиливалась на протяжении последних лет, а во время праздников поток превысил наши физические возможности. С 15 декабря 2025 года по 15 января 2026 года мы получили более 30 отчётов. Их обработка отнимает время и силы, которые могли бы быть направлены на реальную работу по обеспечению безопасности.
Требование минимального балла Signal гарантирует, что у отправителей отчёта есть подтверждённый опыт подачи валидных и проверенных документов, при этом новые исследователи всё ещё могут участвовать с ограниченным числом заявок.
Опция Signal — это метрика репутации в HackerOne, которая отражает качество прошлых отчётов исследователя. Высокий показатель Signal указывает на историю валидных и значимых находок. Это требование помогает расставлять приоритеты в пользу отчётов от экспертов с доказанным опытом и снижает нагрузку по разбору некорректных заявок.
Ранее команда открытого проекта runc (это инструмент командной строки для создания и запуска контейнеров в Linux в соответствии со спецификацией OCI) столкнулась с ростом pull-request и отчётов об ошибках, сгенерированных ИИ.
В середине октября 2025 года автор curl Даниэль Стенберг сообщил, что ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и обнаружить сразу 50 ошибок и багов в открытой утилите. Оказывается, проблема была в разработчиках, а не в технологиях. В прошлом месяце проект curl получил десятки сообщений о потенциальных проблемах от Джошуа Роджерса, исследователя безопасности из Польши. Роджерс выявил множество ошибок и уязвимостей с помощью различных инструментов сканирования с помощью искусственного интеллекта. И его отчёты были не только достоверными, но и оценены по достоинству. Стенберг отметил, что «на самом деле, это действительно потрясающие находки».
Примечательно, что ранее Стенберг объявил, что его открытый проект curl перестанет изучать отчёты об уязвимостях через платформу HackerOne, полученные с помощью ИИ-систем. По заверению Стенберга, подобные массовые сообщения об уязвимостях от систем на базе ИИ перегружают команду проекта. Для проверки ИИ-отчётов необходимо время, которое несравнимо с тем временем, что тратится для создания подобных отчётов при помощи ИИ. В январе 2926 года Стенберг подтвердил, что проект прекратит программу вознаграждения за обнаружение ошибок в конце первого месяца этого года.
«Главная тенденция 2025 года — ИИ-мусора стало больше, чем когда-либо прежде (около 20% всех отчётов). А в среднем мы получаем около двух отчётов об уязвимостях в неделю. По состоянию на начало июля лишь порядка 5% сообщений, полученных в 2025 году, оказались настоящими уязвимостями. Показатель валидности значительно снизился по сравнению с предыдущими годами», — пояснил Стенберг.
Автор: denis-19
