Node.js ужесточил правила багбаунти из-за ИИ-отчетов

Проект Node.js изменил условия программы вознаграждений за найденные ошибки (багбаунти) в связи с увеличением количества отчётов, сгенерированных ИИ-системами. Такие отчёты сложно быстро оценить и проверить.

Теперь для отправки отчётов об уязвимостях на платформе HackerOne требуется показатель Signal 1.0 или выше. Это связано со значительным ростом низкокачественных отчётов, особенно в периоды праздников, когда их поток превышал возможности команды безопасности.

Минимальный балл Signal гарантирует, что отправитель отчёта имеет подтверждённый опыт предоставления валидных и проверенных данных. Новые исследователи всё ещё могут участвовать, но с ограниченным количеством заявок.

Signal – это метрика репутации в HackerOne, отражающая качество предыдущих отчётов. Высокий показатель указывает на историю значимых и подтверждённых находок. Это позволяет приоритизировать отчёты от опытных экспертов и снизить нагрузку на проверку некорректных заявок.

Аналогичная ситуация наблюдалась в проекте runc, где также увеличилось количество pull-request и отчётов об ошибках, сгенерированных ИИ.

В октябре 2025 года исследователь Джошуа Роджерс с помощью ИИ-инструментов выявил 50 ошибок в утилите curl. Его отчёты были признаны достоверными и ценными. Однако, автор curl Даниэль Стенберг ранее объявил о прекращении рассмотрения отчётов об уязвимостях, полученных с помощью ИИ, из-за их перегружающего эффекта на команду проекта.

В январе 2026 года Стенберг подтвердил закрытие программы вознаграждения за обнаружение ошибок в конце месяца. По его словам, около 20% всех отчётов в 2025 году составлял ИИ-мусор, а доля реальных уязвимостей снизилась до 5%.