Исследователи займутся поиском уязвимостей в ИИ-сервисах "Авито"

С распространением генеративного искусственного интеллекта появляются новые типы уязвимостей — например, манипуляции через промпты или попытки извлечения данных из контекста моделей. Компании всё чаще ищут такие уязвимости в том числе через программы Bug Bounty.

Екатерина Пухарева, руководитель продуктовой безопасности Авито: "Искусственный интеллект стал одним из ключевых драйверов развития Авито. Когда технология переходит из категории экспериментов в основу платформы, безопасность нужно закладывать с первых шагов. Bug Bounty для нас – это постоянный элемент экосистемы безопасности, который дополняет внутренние процессы. Внешние исследователи видят систему под другим углом и находят то, что может ускользнуть от команды разработки и безопасности. Для ИИ-сервисов это особенно важно, поскольку такие системы формируют новые классы рисков, и индустрия только начинает выстраивать практики их системной проверки".

В этой связи отдельным направлением программы становится поиск уязвимостей в ИИ-функциях сервисов платформы — например, в генерации описаний, подсказках и автоответах в мессенджере. За ошибки в таких системах исследователи смогут получать вознаграждения по повышенной сетке выплат наравне с уязвимостями в традиционной инфраструктуре.

Однако компании пока только начинают выводить ИИ-компоненты в программы Bug Bounty. По данным платформы BI.ZONE Bug Bounty, средние выплаты за такие уязвимости сегодня примерно на 50% ниже, чем за ошибки в традиционной инфраструктуре.

Помимо ИИ-компонентов, Авито также расширяет программу Bug Bounty на новые продукты компании. В неё включены HR Messenger, HRMOST, Автохаб и Haraba. Максимальная выплата за критические уязвимости в этих сервисах составит до 500 тыс. рублей.

В 2025 году Авито получила 248 отчетов об уязвимостях от независимых исследователей — в 2,8 раза больше, чем годом ранее. Количество принятых отчетов выросло с 23 до 101. Совокупные выплаты исследователям достигли 5 млн рублей, увеличившись в 5,6 раза. Повышение активности исследователей связан в том числе с увеличением вознаграждений, которое компания провела в начале года.  

Рынок Bug Bounty в России продолжает расти. По данным платформы BI.ZONE Bug Bounty, в 2025 году на ней действовало 150 программ — на 50% больше, чем годом ранее. Общее число отчетов об уязвимостях достигло 5,8 тыс., увеличившись на 20,8%. Совокупные выплаты независимым исследователям в 2025 году составили 100 млн рублей, что на 54% больше, чем в 2024 году.

Наиболее активно программы Bug Bounty размещают IT-компании, финтех и госсектор, где требуется регулярная внешняя проверка безопасности цифровых сервисов.

 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!