セキュリティ企業のHackerOneが、自社で運営している「インターネットバグ報奨金プログラム」の新規受付を停止すると発表しました。AIによりバグ発見のスピードおよびその数が向上したためだとしています。
Internet Bug Bounty | Bug Bounty Program Policy | HackerOne
https://hackerone.com/ibb?type=team
Internet Bug Bounty program hits pause on payouts | InfoWorld
https://www.infoworld.com/article/4154210/internet-bug-bounty-program-hits-pause-on-payouts.html
インターネットバグ報奨金プログラムは「オープンソースソフトウェアプロジェクト」に影響を与える脆弱性に関連したセキュリティ研究に報奨金を提供するプログラムです。一般の開発者から広く脆弱性の報告を募ることで、オープンソースプロジェクトの持続的なセキュリティ向上につなげることを目的としていました。
2026年3月27日より、このプログラムの新規受付が停止されます。HackerOneは「AIを活用した研究により、脆弱性発見の範囲が拡大し、発見の網羅性とスピードが向上しています。このプログラムの目標をさらに推進するために必要な構造とインセンティブを検討する間、受付を一時停止します」と伝えました。
近年は生成AIの発達でバグの発見が容易になっており、バグ発見専用のAIツールすら開発されているため、既存の方法で報奨金プログラムを展開する意義が薄れてきています。
AIバグ発見システム「Sashiko」がGoogle社員によって開発される、日本の「刺し子」に由来する名前でLinuxカーネルの未発見バグを次々に検出 – GIGAZINE
インターネットバグ報奨金プログラムは2012年から運営されており、これまでに合計150万ドル(約2億4000万円)以上を開発者に支払っています。
HackerOneは「オープンソースにおける発見と修復能力のバランスは実質的に変化しました」と述べ、プロジェクトのメンテナーや研究者と協力し、オープンソースの実態に合わせたインセンティブの最適化等に引き続き尽力すると伝えました。
バグ報奨金プログラムにはいくつかの組織が取り組んでいますが、HackerOneと同様にAIの影響で受付を停止するところもいくつか見られています。例えばオープンソースのネットワークツール「cURL」は、AIが生成した低品質な脆弱性報告が大量に届くようになったとして新規受付を一時停止しています。
AIによる低品質な脆弱性レポート連発でcURLがバグ報奨金プログラムを停止 – GIGAZINE
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。