- Проект Node.js изменил условия программы багбаунти, введя требование минимального показателя Signal 1.0 для отчётов на HackerOne.
- Изменение связано с ростом количества низкокачественных и сгенерированных ИИ отчетов, которые сложно быстро оценить и проверить.
- Ранее аналогичные проблемы с ИИ-отчётами возникли в проектах runc и curl, последний прекратил багбаунти из-за перегрузки команды большим потоком ложных сообщений.
Проект Node.js внёс существенные изменения в свою программу вознаграждений за найденные ошибки (багбаунти) на платформе HackerOne. В частности, теперь для подачи отчётов об уязвимостях разработчикам требуется иметь показатель репутации Signal не ниже 1.0. Это нововведение направлено на уменьшение количества низкокачественных и сгенерированных с помощью искусственного интеллекта (ИИ) жалоб, которые усложняют работу команды безопасности.
В официальном сообщении проекта подчеркивается, что в период с 15 декабря 2025 по 15 января 2026 года было получено более 30 подобных отчётов, превышающих возможности команды по их оперативной обработке. Требование по минимуму Signal гарантирует, что заявку могут подать только специалисты с подтверждённым опытом и историей предоставления качественных и проверенных данных, сохраняя при этом возможность новичкам внести вклад, ограничив их число отправляемых заявок.
Метрика Signal на платформе HackerOne отражает репутацию исследователя по итогам предыдущих исправленных и признанных багов. Большой показатель говорит о надёжности и значимости отчётов, что упрощает приоритизацию и снижает нагрузку на модераторов при обработке большого потока сообщений.
Проблема с многочисленными низкокачественными ИИ-отчётами ранее возникла и в других крупных проектах с открытым исходным кодом. Например, команда runc сообщала о резком увеличении pull-request и баг-репортов с подобным происхождением. Кроме того, известный проект curl, объединяющий инструменты командной строки для работы с сетевыми протоколами, в конце 2025 года объявил о прекращении программы багбаунти. Автор curl Даниэль Стенберг мотивировал это решение именно перегрузкой из-за большого количества ИИ-сгенерированных сообщений.
Интересно, что несмотря на общее увеличение «мусорных» отчётов, новые технологии позволили отдельным специалистам выявлять десятки реальных уязвимостей с помощью ИИ-инструментов. Например, исследователь безопасности Джошуа Роджерс смог найти около 50 реальных багов в curl благодаря интеграции нескольких систем искусственного интеллекта. Эти оценки признаны и отмечены сообществом как значимые и полезные.
Тем не менее общая доля подлинных уязвимостей среди получаемых сообщений значительно сократилась. По оценке Стенберга, только около 5% отчетов в 2025 году были действительно релевантными, в то время как примерно 20% составляли сообщения, созданные с помощью ИИ без достаточного качества и необходимости.
Таким образом, нововведения проекта Node.js отражают тенденции индустрии по адаптации процессов безопасности под вызовы массового появления ИИ-генерируемых данных. Установка минимального порога репутации помогает сохранять эффективность багбаунти-программ и повышает качество поступающих на рассмотрение обращений.
