Проект Node.js поменял условия программы вознаграждений за найденные ошибки после отчётов, созданных с помощью ИИ-систем

Проект Node.js поменял условия программы вознаграждений за найденные ошибки (багбаунти) после того, как разработчики столкнулись с увеличением отчётов, созданных с помощью ИИ-систем, которые трудно быстро оценить и проверить. Теперь для отправки отчётов об уязвимостях на площадке HackerOne в проект Node.js требуется показатель Signal 1.0 или выше.

Команда безопасности Node.js столкнулась со значительным ростом числа низкокачественных отчётов. Эта тенденция усиливалась на протяжении последних лет, а во время праздников поток превысил наши физические возможности. С 15 декабря 2025 года по 15 января 2026 года мы получили более 30 отчётов. Их обработка отнимает время и силы, которые могли бы быть направлены на реальную работу по обеспечению безопасности.

Требование минимального балла Signal гарантирует, что у отправителей отчёта есть подтверждённый опыт подачи валидных и проверенных документов, при этом новые исследователи всё ещё могут участвовать с ограниченным числом заявок.

Опция Signal — это метрика репутации в HackerOne, которая отражает качество прошлых отчётов исследователя. Высокий показатель Signal указывает на историю валидных и значимых находок. Это требование помогает расставлять приоритеты в пользу отчётов от экспертов с доказанным опытом и снижает нагрузку по разбору некорректных заявок.

Ранее команда открытого проекта runc (это инструмент командной строки для создания и запуска контейнеров в Linux в соответствии со спецификацией OCI) столкнулась с ростом pull-request и отчётов об ошибках, сгенерированных ИИ.

В середине октября 2025 года автор curl Даниэль Стенберг сообщил, что ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и