HackerOne резко снизила выплаты в программе Internet Bug Bounty, через которую исследователи безопасности сообщали об уязвимостях в важных open source-проектах. Самое заметное сокращение пришлось на критические баги: раньше за такие находки платили до $9250, теперь сумма опустилась до $2257. Вознаграждения за менее опасные уязвимости тоже уменьшились: высокий уровень просел с $4429 до $1009, средний — с $1843 до $297, низкий — с $597 до $68.
Поиск уязвимостей — полноценная работа: анализ кода, воспроизведение бага, оформление отчета, ожидание исправления и раскрытия. Когда выплаты меняются задним числом или приходят через месяцы, экономика такой работы ломается.
Internet Bug Bounty — отдельная программа HackerOne для уязвимостей в инфраструктурно важных open source-компонентах. Через нее исследователи отправляли отчеты о проблемах, которые могли затронуть широкий круг пользователей и компаний.
Сейчас IBB и вовсе приостановила прием новых заявок. В описании программы указано, что ИИ-инструменты ускорили поиск уязвимостей, а возможности open source-сообщества по проверке и исправлению отчетов не выросли. То есть отчетов стало слишком много, сопровождать их дорого, а мейнтейнеры — не резиновые.
Поводом для обсуждения стали истории нескольких исследователей, которые получили намного меньше денег, чем ожидали. Один из них отправил отчет об уязвимости среднего уровня и получил $297 вместо прежних $1843. Другие участники программы столкнулись с похожей картиной: работа сделана, уязвимость подтверждена или исправлена, а сумма в личном кабинете заметно ниже обещанной.
Отдельный кейс связан с исследователем Якубом Циолеком. Он сообщил о двух уязвимостях отказа в обслуживании в Argo CD — популярном инструменте для Kubernetes и GitOps-процессов. Обе проблемы получили CVE-идентификаторы и были исправлены. Исследователь рассчитывал примерно на $8500, но месяцами не получал выплату. Позже ему сообщили о задержке обработки вознаграждения.
Такие случаи бьют по доверию к платформе сильнее, чем снижение ставок. Участники bug bounty обычно готовы к разнице между «ожидаемой» и «одобренной» суммой: серьезность бага может быть пересмотрена. Но когда правила меняются после отправки отчета или остаются недостаточно понятными для исследователя, это разрушает доверие к системе.
HackerOne объясняет изменения особенностями IBB: выплаты в этой программе зависят от вклада спонсоров и могут автоматически корректироваться. Компания также говорит о пересмотре модели, которая должна учитывать интересы исследователей, спонсоров и open source-экосистемы.
Причина в том, что ИИ резко изменил рынок поиска уязвимостей. Опытный исследователь теперь быстрее пишет proof-of-concept, собирает черновик отчета, ищет похожие паттерны в коде и проверяет гипотезы.
Площадки и сопровождающие open source-проектов получают поток слабых, повторяющихся или просто ошибочных отчетов. Такие заявки выглядят убедительно: аккуратный текст, ссылки , объяснения, иногда даже готовый «эксплойт». Но проверка показывает, что бага нет, риск раздут или проблема уже известна.
Для маленькой команды open source это лишние затраты времени. Разработчик тратит вечер не на исправление реальной уязвимости, а на разбор очередного ИИ-слопа — машинно сгенерированного мусора, который имитирует работу исследователя. Из-за этого некоторые проекты уже пересматривают участие в bug bounty или закрывают денежные программы.
Яркий пример — curl. Команда проекта решила прекратить bug bounty на HackerOne после наплыва некачественных отчетов, многие из которых связывали с генеративным ИИ.
Bug bounty работает как внешний радар. Компании и open source-проекты получают шанс узнать об уязвимости раньше злоумышленников или до массовой эксплуатации. Исследователь получает деньги и репутацию. Пользователи получают исправление. Модель держится на доверии: понятные правила, справедливая выплата, аккуратное раскрытие информации.
Когда выплаты падают почти до символического уровня, сильные исследователи уходят в частные программы, консалтинг, red team-проекты или закрытые продажи уязвимостей. Самые опасные баги все еще найдут, но вопрос — кто именно и куда их отнесет.
Низкая награда за критическую уязвимость создает странный перекос. Компания может терять миллионы из-за одной ошибки в авторизации или цепочки эксплуатации, но внешний исследователь получает за это очень скромное вознаграждение. Для специалистов это повод выбрать другой рынок.
HackerOne остается одной из крупнейших платформ. За последний год компания отчиталась о $81 млн выплат исследователям по всем программам. Это показывает, что деньги в отрасли есть. Снижение ставок в IBB скорее говорит о кризисе конкретной модели open source-вознаграждений, где много участников, мало устойчивого финансирования и растущая нагрузка.
Другие крупные компании, наоборот, повышают максимальные выплаты за сложные цепочки атак. Самые дорогие награды выдают за подтвержденные уязвимости с серьезным влиянием: обход песочницы, удаленное выполнение кода, компрометация аккаунтов, атаки на цепочки поставки, взлом защитных режимов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
