Проект Node.js поменял условия программы вознаграждений за найденные ошибки после отчётов, созданных с помощью ИИ-систем

Проект Node.js поменял ^[1] условия программы вознаграждений за найденные ошибки ^[2] (багбаунти) после того, как разработчики столкнулись с увеличением отчётов, созданных с помощью ИИ-систем, которые трудно быстро оценить и проверить. Теперь для отправки отчётов об уязвимостях на площадке HackerOne в проект Node.js требуется ^[3] показатель Signal 1.0 или выше.

Команда безопасности Node.js столкнулась со значительным ростом числа низкокачественных отчётов. Эта тенденция усиливалась на протяжении последних лет, а во время праздников поток превысил наши физические возможности. С 15 декабря 2025 года по 15 января 2026 года мы получили более 30 отчётов. Их обработка отнимает время и силы, которые могли бы быть направлены на реальную работу по обеспечению безопасности.

Требование минимального балла Signal гарантирует, что у отправителей отчёта есть подтверждённый опыт ^[4] подачи валидных и проверенных документов, при этом новые исследователи всё ещё могут участвовать с ограниченным числом заявок.

Опция Signal ^[5] — это метрика репутации в HackerOne, которая отражает качество прошлых отчётов исследователя. Высокий показатель Signal указывает на историю валидных и значимых находок. Это требование помогает расставлять приоритеты в пользу отчётов от экспертов с доказанным опытом и снижает нагрузку по разбору некорректных заявок.

Ранее команда открытого проекта runc (это инструмент командной строки для создания и запуска контейнеров в Linux в соответствии со спецификацией OCI) столкнулась ^[6] с ростом pull-request и отчётов об ошибках, сгенерированных ИИ.

В середине октября 2025 года автор curl Даниэль Стенберг сообщил ^[7], что ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить ^[8] и обнаружить ^[9] сразу 50 ошибок и багов в открытой утилите. Оказывается, проблема была в разработчиках, а не в технологиях. В прошлом месяце проект curl получил десятки сообщений о потенциальных проблемах от Джошуа Роджерса, исследователя безопасности из Польши. Роджерс выявил множество ошибок и уязвимостей с помощью различных инструментов сканирования с помощью искусственного интеллекта ^[10]. И его отчёты были не только достоверными, но и оценены по достоинству. Стенберг отметил, что «на самом деле, это действительно потрясающие находки».

Примечательно, что ранее Стенберг объявил ^[11], что его открытый проект curl ^[12] перестанет изучать отчёты об уязвимостях через платформу HackerOne, полученные с помощью ИИ-систем. По заверению Стенберга, подобные массовые сообщения об уязвимостях от систем на базе ИИ перегружают команду проекта. Для проверки ИИ-отчётов необходимо время, которое несравнимо с тем временем, что тратится для создания подобных отчётов при помощи ИИ. В январе 2926 года Стенберг подтвердил ^[13], что проект прекратит программу вознаграждения за обнаружение ошибок в конце первого месяца этого года.

«Главная тенденция 2025 года — ИИ-мусора стало больше, чем когда-либо прежде (около 20% всех отчётов). А в среднем мы получаем около двух отчётов об уязвимостях в неделю. По состоянию на начало июля лишь порядка 5% сообщений, полученных в 2025 году, оказались настоящими уязвимостями. Показатель валидности значительно снизился по сравнению с предыдущими годами», — пояснил Стенберг.