Основы Интернет - технологий.

Баг-баунти платформа HackerOne оказалась в центре скандала: исследователи заподозрили, что компания может использовать их отчеты об уязвимостях для обучения ИИ-моделей. В итоге отвечать специалистам пришлось CEO компании Каре Спраг (Kara Sprague). Поводом для случившегося послужила запущенная в прошлом месяце платформа Agentic PTaaS — новой продукт HackerOne, который компания описывает как «непрерывную проверку безопасности с автономными ИИ-агентами и человеческой экспертизой». В описании отдельно подчеркивалось, что агенты «проходят обучение и совершенствуются на проприетарной базе знаний об эксплоитах, накопленной HackerOne за годы тестирования реальных корпоративных систем». В итоге багхантеры задались очевидным вопросом: откуда взялись эти данные для обучения? Бывший исследователь под ником YShahinzadeh пишет: «Как бывший багхантер на H1, надеюсь, что вы не использовали мои репорты для обучения ваших ИИ-агентов». Другой специалист под ником AegisTrail сформулировал свое мнение еще мрачнее: «Когда white hat’ы чувствуют, что правовая система работает против них, привлекательность темной стороны становится вопросом злости и выживания, а не этики». На ситуацию была вынуждена отреагировать CEO HackerOne Кара Спраг, которая дала развернутый комментарий о ситуации через LinkedIn. Глава компании заявила: «HackerOne не обучает генеративные ИИ-модели — ни внутри компании, ни через сторонних провайдеров — на отчетах исследователей или конфиденциальных данных клиентов». Также она подчеркивает, что отчеты специалистов не используются для тонкой настройки и иного улучшения моделей, а сторонним поставщикам моделей прямо запрещено «хранить или использовать данные исследователей или клиентов для обучения собственных моделей». Кроме того, по словам Спраг, агентная ИИ-система HackerOne Hai создана «для ускорения получения результатов, таких как верифицированные отчеты, исправления ошибок и выплаченные вознаграждения, при сохранении целостности и конфиденциальности вклада исследователей». Скандал подтолкнул к публичным заявлениям и конкурентов HackerOne. Так, основатель и глава компании Intigriti Стейн Янс (Stijn Jans) заявил, что хочет четко обозначить позицию компании и заверил исследователей, что «ваша работа принадлежит вам». По его словам, компания использует ИИ только для взаимной выгоды исследователей и заказчиков, чтобы усилить человеческую креативность и обеспечить более быструю и точную обработку результатов. Политика Bugcrowd в отношении ИИ уже зафиксирована в условиях использования платформы: третьим сторонам запрещено обучать на данных исследователей и клиентов любые ИИ и LLM-модели. Также платформа обязывает самих исследователей соблюдать правила при работе с генеративным ИИ: автоматизированные или непроверенные результаты не принимаются к рассмотрению. HackerOne, в свою очередь, анонсировала обновление Terms and Conditions. Судя по всему, скандал убедил компанию зафиксировать свои обещания письменно.