$81.1493.42

IT-компании увеличивают внимание к кибербезу в сфере ИИ

Российская Газета

Крупные IT-компании все активнее включают ИИ-компоненты в программы Bug Bounty и увеличивают выплаты так называемым этичным хакерам. Это способствует все более активному росту рынка таких услуг: в 2025 году на нем действовало 150 программ - на 50% больше, чем годом ранее. Эксперты отмечают, что это свидетельствует о принципиальной перестройке IT-рынка.

IT-компании увеличивают внимание к кибербезу в сфере ИИ
© Российская Газета

Суть программы Bug Bounty - находить уязвимости, которые могут представлять риск для компании или пользователей при помощи сторонних экспертов, так называемых "белых" или "этичных" хакеров. Речь может идти об ошибках или уязвимостях, позволяющих получить доступ к чужим данным, украсть платежную информацию или нарушить работу сервисов той или иной компании.

В Авито рассказали "РГ" о том, что расширяют собственную программу Bug Bounty за счет добавления туда ИИ-сервисов и увеличивают максимальную выплату за критические уязвимости до 1 млн рублей. В рамках программы "этичные" хакеры смогут тестировать ИИ-решения платформы, включая будущих ассистентов Ави и Ави Pro. Это не первый опыт на российском рынке. Ранее в Яндексе рассказали, что в 2025 году в их программе также появилось отдельное направление, связанное с генеративными нейросетями.

Как отмечают эксперты, с распространением генеративного искусственного интеллекта появляются новые типы уязвимостей - например, манипуляции через промпты или попытки извлечения данных из контекста моделей. Это новые среды, которые только формируются, и компании все чаще ищут такие уязвимости, в том числе через программы Bug Bounty.

"Когда технология переходит из категории экспериментов в основу платформы, безопасность нужно закладывать с первых шагов. Bug Bounty дополняет внутренние процессы. Внешние исследователи видят систему под другим углом и находят то, что может ускользнуть от команды разработки и безопасности. Для ИИ-сервисов это особенно важно, поскольку такие системы формируют новые классы рисков и индустрия только начинает выстраивать практики их системной проверки", - поясняет Екатерина Пухарева, руководитель продуктовой безопасности Авито.

Растут и размеры гонораров - теперь сумма выплат увеличена до 1 млн рублей за каждую выявленную критическую уязвимость. Все это способствует росту активности исследователей.

В 2025 году Авито получила 248 отчетов об уязвимостях от независимых исследователей - в 2,8 раза больше, чем годом ранее. Количество принятых отчетов выросло с 23 до 101. Совокупные выплаты исследователям достигли 5 млн рублей, увеличившись в 5,6 раза. Рост активности исследователей связан в том числе с увеличением вознаграждений, которое компания провела в начале года. В Яндексе также отмечают рост числа отчетов, и что особенно важно - полезных отчетов. Так, в 2025 году было прислано 1,3 тысячи полезных отчетов, соответствующих правилам программы, что на 30% превышает результаты прошлого года.

Расширяются возможности исследования уязвимостей и за счет других направлений, не связанных с ИИ. Так, в Авито в нее добавили HRMOST - платформу чат-ботов для массового найма, Автохаб - систему автоматизации процессов для автодилеров и Haraba - сервис оценки автомобилей с пробегом. Максимальная выплата за критические уязвимости в этих сервисах составит до 500 тыс. рублей.

Рынок Bug Bounty в России демонстрирует активный рост. По данным платформы BI.ZONE, Bug Bounty, в 2025 году на ней действовало 150 программ - на 50% больше, чем годом ранее. Общее число отчетов об уязвимостях достигло 5,8 тыс., увеличившись на 20,8%. Совокупные выплаты независимым исследователям в 2025 году составили 100 млн рублей, что на 54% больше, чем в 2024 году. Наиболее активно программы Bug Bounty размещают IT-компании, финтех и госсектор, где требуется регулярная внешняя проверка безопасности цифровых сервисов.

"Чаще всего программы запускают организации из IT, финтеха и госсектора, где важно контролировать безопасность большого числа продуктов. Развивается ИИ-направление: этот тренд зависит от того, насколько успешно компании будут внедрять искусственный интеллект в свои решения. Чем больше ИИ-компонентов, тем выше интерес к этому направлению со стороны исследователей",- поясняет Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.

Решения о включении ИИ-компонентов в Bug Bounty - это важный сигнал рынку: эпоха, когда искусственный интеллект воспринимался как экспериментальная "надстройка", окончательно завершилась, уверен член Комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор проекта "Цифровая Россия" Антон Немкин.

"Сегодня ИИ становится ядром цифровых платформ, а значит - и ключевой зоной риска. Манипуляции через промпты, утечки контекста, неочевидные сценарии поведения моделей - все это не ловится классическими методами тестирования. В этом смысле подключение внешнего сообщества исследователей - не просто усиление, а необходимость. ИИ-системы слишком сложны и непредсказуемы, чтобы замыкать их проверку исключительно внутри компании", - пояснил Немкин "РГ".

По словам Немкина, не стоит недооценивать и расширение программы на новые продукты - от HR-сервисов до автомобильных платформ. Это говорит о переходе от точечной защиты к системному управлению киберрисками. "Сегодня уязвимость в чат-боте для найма или сервисе оценки авто может обернуться не меньшими потерями, чем классическая атака на платежную инфраструктуру. И компании начинают это осознавать, выстраивая защиту по всему цифровому периметру, а не только в его "очевидных" точках", - считает депутат.