«Авито» удвоило выплаты по Bug Bounty
3 мин
28
Платформа «Авито» расширила действие программы Bug Bounty на ИИ-сервисы и повысила максимальную выплату за критические уязвимости до 1 млн рублей. Независимые исследователи теперь смогут тестировать ИИ-решения платформы, включая будущих ассистентов «Ави» и «Ави Pro».
Кроме того, в программу включили новые продукты компании. Это HR Messenger и HRMOST — платформы чат-ботов для массового найма, «Автохаб» — система автоматизации процессов для автодилеров и Haraba — сервис оценки автомобилей с пробегом. За обнаруженные в них критические баги участникам готовы платить до 500 тысяч рублей.
Задача участников программы — находить уязвимости, которые могут быть опасны для компании или пользователей. Например, ошибки, позволяющие получить доступ к чужим данным, украсть платёжную информацию или вывести сервисы из строя. Исследователи тестируют мобильные и веб-приложения компании, включая всё, что размещено на поддоменах *.avito.ru.
Активность участников программы растёт. В 2025 году «Авито» получило 248 отчётов об уязвимостях от независимых исследователей — в 2,8 раза больше, чем годом ранее. Количество принятых отчётов выросло с 23 до 101. Совокупные выплаты достигли 5 млн рублей, увеличившись в 5,6 раза. Рост связан в том числе с тем, что компания подняла вознаграждения в начале года.
С распространением генеративного ИИ появляются новые типы уязвимостей, например манипуляции через промпты или попытки получить данные из контекста моделей. Компании всё чаще включают подобные проблемы безопасности в свои программы Bug Bounty.
Отдельным направлением программы стал поиск уязвимостей в ИИ-функциях сервисов платформы — в генерации описаний, подсказках и автоответах в мессенджере. За ошибки в таких системах исследователи смогут получать повышенное вознаграждение наравне с уязвимостями в традиционной инфраструктуре.
За найденные в ИИ уязвимости, по данным платформы BI.ZONE Bug Bounty, исследователи сегодня могут получить вознаграждение в среднем на 50% меньше, чем за выявленные проблемы в обычной инфраструктуре. Пока компании только начинают добавлять ИИ-компоненты в программы Bug Bounty.
Российский рынок Bug Bounty демонстрирует уверенный рост. В 2025 году в отечественных компаниях действовало 150 подобных программ — на 50% больше, чем в 2024 году. За год их участники отправили 5,8 тысячи отчётов об уязвимостях, нарастив активность на 20,8%. Совокупные выплаты независимым исследователям составили 100 млн рублей, то есть на 54% больше, чем в 2024 году. Лидерами по количеству действующих программ Bug Bounty являются компании из ИТ, финансовых технологий, а также госсектора.
